被人CC攻击 TCP老在500多，3M宽带跑满，怎么办？

3351652708 · 发表于 2018-10-13 14:37:02

colts516 发表于 2018-10-13 14:10
我把服务器重新安装一次看看。

您试试

ixuner · 发表于 2018-10-13 14:38:17

加钱

colts516 · 发表于 2018-10-13 18:01:16

3351652708 发表于 2018-10-13 14:37
您试试

我重装了系统，当lnmp一装好， ip可以访问时，cpu 宽带就全部满了。

小妹妹来吃鸡吧 · 发表于 2018-10-13 19:52:02

本帖最后由小妹妹来吃鸡吧于 2018-10-13 19:54 编辑

colts516 发表于 2018-10-13 11:38
安全狗显示：DDOS是国外ip，我的腾讯云cdn流量是国内的，一点都没增加。

宽带一直100%。 ...

对于cc来说，cdn毛用没有，都是到后端服务器，还是得WAF，把自己网站上访问的时候查询比较慢的那些链接加到规则里，比如20秒不能超过10次，超过了直接把请求ban掉。
另外源IP不要暴露出去，源站设置防火墙，只允许前置防火墙的IP访问

砍柴郎 · 发表于 2018-10-13 20:05:29

小妹妹来吃** 发表于 2018-10-13 19:52
对于cc来说，cdn毛用没有，都是到后端服务器，还是得WAF，把自己网站上访问的时候查询比较慢的那些链接加 ...

正想请教一下，一般设置多少秒多少次比较合适？主要是我没一个概念。

小妹妹来吃鸡吧 · 发表于 2018-10-13 20:19:15

本帖最后由小妹妹来吃鸡吧于 2018-10-13 20:20 编辑

砍柴郎发表于 2018-10-13 20:05
正想请教一下，一般设置多少秒多少次比较合适？主要是我没一个概念。

正好我们单位有几个业务最近一直被cc攻击，结合下我自己的实际经验简单说一下。
这个得具体看情况，主要还是得看日志，打个比方来说，从日志里看到有个访问一直很高，而且这个请求会占用大量资源，比如需要关联多张表查大量数据，但是这个请求正常用户也需要频繁访问，这时候就需要考虑尽可能低的误封正常用户，比如说这个请求正常用户如果5秒钟不会超过2次，但是cc的话5秒钟可能会达到3次，那么可以设置成20秒超过10次，就可能是不正经用户，可以封个10分钟左右，为什么要封这么短？主要是怕误封。

砍柴郎 · 发表于 2018-10-13 22:44:28

小妹妹来吃鸡吧发表于 2018-10-13 20:19
正好我们单位有几个业务最近一直被cc攻击，结合下我自己的实际经验简单说一下。
这个得具体看情况，主要还 ...

谢谢，我设置的是10秒钟达到10次，封60分钟
我一有时间还将这些被拦的直接加入黑名单，不过加不胜加，太多的IP了。。

abccba94 · 发表于 2018-10-14 08:36:58

fail2ban了解下

		自动登录	找回密码
密码			注册

[已解决] 被人CC攻击 TCP老在500多，3M宽带跑满，怎么办？