共计 1141 个字符,预计需要花费 3 分钟才能阅读完成。
最近 NL 一直被攻击,各种攻击,想必 mjj 都知道不久前因为我开发插件的时候不谨慎导致一个低级漏洞被利用,网站并黑。
其实这只是攻击的一部分,基本每天,NL 都在被 CC 攻击和 DDos 攻击中。
事实上 DDCC 也是日常 中我们遇到的最多的攻击方式。我们应该如何防御呢?
我们知道,DDos 要选择高防服务器,因为是拒绝服务攻击,对方就是想把口子打满。在 VPS 中,有两家高防的翘楚,分别就是
DMIT(https://www.dmit.io) 斯巴达 (https://spartanhost.org/)
这两家的防御一个是走的 CF 接入去程,一个是 Cera 提供的高防服务。
正常来说,两家的 DDos 防御都可以抵御住一般的 DDos 攻击。
所以,如果你被 DDos 攻击了,选这两家都可以。价格来说,斯巴达更便宜一些。线路来说,DMIT 的 ping 值略占优。但斯巴达电信联通 4837,移动 CMI,比较稳定,做站的话,稳定是第一位的。这两家也差不多。
但是,我们说过,攻击不只是 DDos,还有 CC。
CC 其实就是打程序,使用海量模拟访问让你的程序无法及时处理导致崩溃。
如果你是纯静态的网页,你不必担心 CC。
如果是动态网站或者 API,就需要注意了,很容易 **。
你的数据库可能会来不及查询,你的 php 可能会来不急响应。
这个时候,我们就需要使用 WAF 防火墙了。
WAF 防火墙不只是基于规则保护你不被各种注入或漏洞入侵,也提供了一些速率限制,可以过滤掉一些攻击。如果你把 WAF 防火墙放在 DMIT 或者 斯巴达 前面,那边你的这台前端服务器就同时承担了 WAF 和 DDOS 的功能。
这个时候,在 DMIT 和斯巴达之间,就存在一个明显的差距。
DMIT 的口子比较小,之前的 108,113 的套餐的口子,都是 100M 的,即使后面出的 spro 125$,也只有 300M。
如果攻击方使用 CC 攻击达到的流量达到真实 10MBps,那么就是运行商的 100Mbps,这个时候,你的服务器已经很难打开了。
DDos 服务并不会生效,因为这是 CC 攻击,DDos 无法拦截。
而斯巴达提供高达 10Gbps 的口子,这是很多攻击方无法达到的 CC 流量。
所以,到这里,你也知道 DMIT 和 斯巴达在建站的时候,应该选哪家了。
最后,说下,后端的机器,口子也不能太小。我现在问题就是后端口子不大,不少 CC 攻击流量从斯巴达穿过到达后端服务器后,把我口子塞满了,导致网站访问不了。
后续,我会找一个口子大一点的性能机做后端,这样,不至于瓶口大,瓶颈缺太小这样尴尬的局面出现了。
最后,CC 攻击时,软件优化也很重要,尽量多使用静态页面或者内存缓存,可以有效缓解 CC 攻击。
另外,网站的安全更重要。
这次,就是因为自己用的一个插件写得太随便,导致了网站被入侵,也给我敲响了警钟,以后,所有的功能的实现,都要把安全考虑在共其中。
