分享下如何不使用5秒盾来抵御CC攻击

NodeLoc

近期，hostloc上面时不时有mjj说网站几天打不开了，一直被攻击。其实，签名站前段时间也一样，一直被攻击，几乎无间断。

这两天整得差不多了，顺便分享一下Nodeloc的防御的方法和心得及配置方案吧。

NodeLoc 起初因为速度原因选择的是 UCloud的特价机器，一年只有129￥，1c2g的香港机器，国内访问速度也是相当不错的，后面大概是12月份的时候，有mjj攻击，UCloud的策略是黑洞24小时，这对建站来说是不可接受的，所以放弃了UCloud，这里要吐槽一下，UCloud的机器129￥年付，我用了两个月，申请退款时是0退款，而且退款前也没有告知我，我退完才知道，是按正价算使用时间，这是非常霸王无耻的条款，鄙视垃圾UCloud。大家千万不要买他家了。

系统
这个时候站点是运行在宝塔上面的，因为人比较少，功能也比较简单，而且这个时候线路也不错，打开速度非常的快。

结果
从UCloud搬离后，我就在思考网站的搭建策略，如果有效的防范攻击又能取得不错的访问速度。

因为如果只是单纯的套个CF这样对国内的用户是很不友好的。

最终方案如下



这里其实应用服务器、数据库服务器、Redis,MeiliSearch 这3台其实可以分开放，但我选择了开3台 1c2g的服务器，每台负责独立的业务。

最重要的其实是前端的安装 雷池的 waf 服务器，这台服务器既承担了攻击的角色，又是一台反代加速的服务器。

如果你的流量比较大，可以考虑拓展一下。



增加前端的WAF节点即可。

这样首先通过境内外分别，过滤掉绝大多数攻击。再通过WAF服务器，过滤掉额外的攻击。 这个时候，到达服务器本身的就算有攻击，也是零星的流量了。

系统
我现在已经抛弃了宝塔，改用了 OLS ，因为OLS在缓存的应用方面，要强很多。我使用的是 前端 长亭雷池WAF + 后端 CyberPanel+OLS + 数据库层 MariaDB + Redis + 全文索引 MeiliSearch。

目前 NodeLoc 整体就是这么运行的，后面如果有问题，有调整，我还会在本帖更新 。

另外，有些老哥如果还在被打得要死不我没有，也可以试试我的方案，也可以私聊我看看。

原方案： https://www.nodeloc.com/d/1233

iiss

哦 没事了 图片没显示出来
-----------
防火墙用的哪家的啊
还是自己过滤啊，自己过滤总会有漏网之鱼

yushe

方案不错

jacob

方案不错，就是麻烦点…

小猪猪是你

CyberPanel网站看着不错

scheme

有些是源ip暴露了

NodeLoc

scheme 发表于 2024-2-29 19:39
有些是源ip暴露了

源ip配置下只允许cf和waf服务器访问就可以了。

AKA舒克

技术贴

crm

有些服务不能套cf ，不如callback等，很容易被爬出源ip，只能在白名单上下功夫

NodeLoc

crm 发表于 2024-2-29 20:05
有些服务不能套cf ，不如callback等，很容易被爬出源ip，只能在白名单上下功夫 ...

有callback的肯定是你信任的网站了。

leglo

区分境内外分别接入，这个得购买专业的DNS来解析域名吧？另外，香港澳门的流量属于境外还是境内？