网站建设维护 知乎 第1篇
大厂的存储桶和cdn你再怎么防御,总有攻击大佬能破的,为了防止一夜破产,最好别用,用了一定要设置封顶和流量限制等,如果存储通cos你没用腾讯的cdn去保护(因为腾讯云的高防cdn很贵),而是用的其他高防死扛cdn,那么只有这个cdn能保护cos(其余的什么cos防御,设置referer什么的都没用);
按理来说除了cdn提供商,其他人是不知道你的源存储通链接的,但是就是有大佬能搞到,万一被抓源存储桶的情况下就没办法去很好的限制cos速率,就更加要把各种告警都打开,比如微信,邮箱,电话告警都打开,被告警了直接关了服务,防止被刷。
把cos存储通中的文件,在cdn中勾选全部缓存,尽量被刷流量也是刷小厂cdn的。
tip:存储服务是没办法停止的,你只有设置为私有访问或者删了所有数据。
注意:这里也只是防住你被刷流量,被刷钱,就算攻击者卡住那个最低阈值一直刷一晚上,你也被刷不了多少钱。但是攻击者一攻击你就停止cos图片服务吗?显然这样是不行的,
如果设置了cdn和waf,cos还是被刷,就得分情况了,如果对面有能力抓原存储桶链接,那么就得及时找到他是怎么找到的原存储链接,然后修复,然后换个存储桶。如果换了还没用,就继续修复,如果无法及时修复,没钱就只能上cf去保护或者用cf的存储桶,有钱就上腾讯云的edgeone的cdn(几百块一个月)去保护,而且要仔细设置防护策略(没防住的https流量也计费的,功能强大但是得我们自己仔细配置),然后设置私有鉴权访问(私有鉴权访问,那么就漏源了也刷不了,必须通过edge
one才能到cos)(不要用腾讯云的普通cdn,他有能力找你源存储通链接,绕过你个普通cdn毫无压力,到时cos和cdn双重被刷。)
如果是没有找到你源存储通链接,而是过了你小厂cdn的防刷和cc策略,那就找个更好的小厂cdn即可。
注意:腾讯云和阿里云的存储桶,比如腾讯云的,你用了edgeone后要配置自定义cdn加速域名和私有鉴权。而不要自定义存储桶源站域名,那玩意没有任何作用,可能还会导致源存储通被泄露。
存储服务最好和源服务器是同一地区,可以让网站更快,最好服务商也相同,可以节省一点流量。
价格区间:一年1T的腾讯cos,首单优化我只花了120
计费:流量费+存储费
tips:存储通最好要和网站一样每天备份到本地电脑(产生流量费用)或者进行版本控制(产生容量费用),虽然大厂存储被黑的几率很小。
如何防刷:
1-防盗链,跨域访问cors设置(形式化设置一下,有人想攻击的话,防盗链什么Referer都可以伪造的)
2-千万不要把桶名暴露,要自定义配置一个域名去代替桶名。
腾讯云提供了两种方式。如下的方法1和2,两种方式用其中一个就行了,另一个不需要也用不了,因为cname会冲突,除非你是想配置两个自定义访问的子域名。
自定义源站域名:比如你设置个,然后你在的dns上配置好主机记录为pic,cname记录值为cos原始访问链接就行了。(必须设置共有读)
这样只是隐藏了你的cos的原始存储桶链接,因为是共有读,如果黑客通过某个方法知道了你的cos存储桶原链接,可以一直请求刷你的原链接。而且其实没点用,人家就算不知道你的原始存储桶链接,直接刷你这个自定义源站链接是一样的。
这里的没用只指防御作用,它的用处实现域名访问还是有的,想要防护,就得设置其他的高防wafcdn,然后源站设置为自定义域名如(不用这个,就直接设置为存储桶原链接);其实用存储桶原链接就行了,你配置个子域名再接入wafcdn去防护完全多此一举,相对于多cname了一次,而且子域名存在本身没有防护的,被攻击者扫描出子域名,就把cdn绕过了。
但是它又是必须设置的,cos中的自定义域名必须设置,否则wafcdn中设置的加速域名根本无法回源,因为cos根本不认可那个域名的回源;也就是说cos中的自定义域名必须设置,但是可以不根据它的要求去真的配置自定义域名前缀的dns解析值为源存储桶链接,而是将解析值设置为wafcdn分配的cname值,然后wafcdn的源站配置为源存储通链接。而且如果你是国内存储通,设置的自定义域名还必须是备案域名。
自定义cdn加速域名:配置加速域名为(前缀随便你设置的,反正就是用来以后提供这个链接访问cos内资源),然后腾讯云会分配加速域名pic的cname主机记录值,一般就是<域名>.,然后他会在腾讯的cdn控制台自动为你设置源站为cos的原始访问链接。(设置私有读,私有读比较安全,但是必须用腾讯云的cdn,因为腾讯云他的cdn和cos之间后台设置了鉴权机制,相对于cdn每次访问都带了一个密码去访问,所以可以取到资源,其他人访问的话没有密码权限,无论怎么请求都是404,有cos原桶链接都没用)
其实和方法1一样的原理,但是就是加了个cdn,让无法直接刷cos,而是先刷cdn,而cdn又有cc防护,达到保护cos的目的。
当你站点用的不是腾讯云的cdn,因为腾讯云的cdn是不死扛第四层ddos的,所以我们基本上会接入小厂cdn去防御攻击,那么我们用方法1就行了,自定义源站的域名和我们的小厂cdn的加速域名一致就行了,比如都设置,然后小厂cdn中配置回源为cos原存储桶链接即可。这样小厂cdn照样可以保护我们的cos不被刷量,因为用户每次访问图片,都是通过,他是先请求了cdn,cdn没有图片才会请求我们的存储桶。
防御原理和腾讯云cdn方法2一样,但是差了一点,因为小厂cdn和腾讯云cos之间没法去相互配合设置后台鉴权,设置腾讯的授权策略让小厂cdn访问很麻烦,所以无法开启私有访问,那么当你存储桶原请求链接暴露了,攻击者就可以跳过cdn去请求你的cos,就被刷了。所以千万别告诉别人你的存储桶原链接,还有不要去用方法1,方法一就是脱裤子放屁根本没用,要么你就直接用方法2或者3,否则会暴露你的存储桶原链接。
腾讯云和阿里云那个cos存储桶或oss存储桶的回源鉴权都是只能用其自己的cdn才可以,如果用存储通外的第三方公司的cdn,就只能通过CDN域名+COS签名的方式访问。
如果需要实现设置cos私有访问,然后允许第三方cdn 回源到腾讯云的COS,且不用手动带签名,那么友商需要支持S3源站配置,如果不支持那就不行,必须手动携带COS签名进行回源
cos签名就是用你cos所属账户的权限去生成一个签名,第三方cdn每次访问cos资源都要加上这个签名去访问。
第3种方法的弊端
首先cos是不可能被cc打死的,因为本身cos就只会被刷量,它处理并不是动态请求。如你的cdn没有滑块人机验证等功能,可能防不住第七次的cc攻击,也就是过滤不了所有恶意动态请求,源服务器会被打动态请求宕机。(把国内cdn关了,开cloudflare就行)
注意cloudflare你不是接入他的cdn就行了,你也得百度配点里面的策略,还有被打了手动去开5s盾。
但是因为cos处理的是下载,不是动态请求,而且本身前面就加了一层cdn挡着,尽管这个cdn没有人机验证功能,也会分担流量和请求,所以cos是不会宕机的,遇到cc攻击只会被刷cdn和cos的流量。
如何不被刷流量呢?
1-你就花钱上一个有人机验证滑块验证的详细细分流量限制等防御cc的cdn就行了,而且付费cdn基本上有智能cc,根本不需要自己去配置了,这样cdn流量和cos流量都不会被刷。
2-通过ns将主域名接入cloudflare,这样按理说应该是可以的,但ns接入cf会导致国内dns解析和生效缓慢,所以如果你是一个注重用户体验的产品,不推荐这个,如果你不注重用户体验你直接全站接入cf,存储也用cf的R2存储桶就行了。
3-通过原先提到的中转域名跳板的方式让域名接入cf的方式一样,让cos也通过cname接入cf,这样就不需要ns接入cf了,也不存在dns解析速度的问题了,但是这貌似根本就行不通,我尝试后发现不行。
cos接入cf配置和教程
cf除了保护网站,也是可以保护cos的,但是需要ns接入,不能cname接入,而且cf虽然无限流量,但是速度和带宽肯定不尽人意,不然人人用cf了。所以如果你的网站没有盈利,可以尝试用cf,如果需要用户体验,有盈利,那国内买个99一个月的cdn,防御能力其实和cf差不多了,而且访问快。
虽然教程中是cname到源存储桶链接,但是只要小云朵是打开状态,cf除了提供防护,还会提供缓存。
上述教程是第一次的新存储桶和新域名,如果是原先我们已经为cos配置过cdn,应该怎么改为cf的cdn呢?
如的图片资源是放在cos中,然后接入了域名代替存储桶源链接作为访问域名,然后接入wafcdn保护,wordpress里面cos上传插件配置的url图像上传地址也是
我应该怎么改成cloudflare去保护cos呢?
方法一:按照如上教程设置即可,然后把wp的cos上传插件配置的url图像上传地址前缀改为你的新域名。(做完这个,你还需要把数据库内的图片url的老域名全部改为新域名,因为cos插件只影响所有媒体库,你原先的设置和发布的文章是不受影响的)
方法二:把原先的老域名的dns接入cloudflare,那么再按照上述教程设置即可,原先设置的图像上传地址前缀不变(cf的原理就是你网站dns接入了,cf的dns设置页面你把那个云朵标记打开,就可以帮你防护了)
方法三:
1-通过cname接入防护,也就是把的cdn前缀的cname解析的记录值从原先的wafcdn改为接入cloudflare的域名中设置的源站为cos源存储桶链接的那个子域名。其他配置和上述教程一样即可。
(1这种貌似不可行,提示You’ve requested a page on a website () that is on the Cloudflare network. Cloudflare is currently unable to resolve your requested domain (). There are two potential causes of this,其实没有ns接入cf,而是另一个域名按照教程中接入,但是会出现如上问题)
(应该和源站接入cf,必须域名dns接入cloudflare才可以直接cname接入cf一样,如果dns不在cf中,直接在其他dns解析中用canme重定向到cf中的域名是不行的,只能提供saas回退源自定义域名的方式接入)
(为什么不dns接入cf,以为cf的dns和国内的运营商有点“不太兼容”,国内的大众用户访问的dns服务器在面对cf的dns解析中要慢好几个小时甚至一天,也就是你cf配置了解析,国内用户第一时间识别不到)
这里只是思路,不懂dns走向和流量走向,可能看不懂,得先学,不然你就算配置好了,你也不懂为什么,出问题也修不了。
cf能保护cos的,就算遇到麻烦配置不好,那就不保护cos了,转而把图片丢源站下发,cdn保护源站就行了;也可以用cf的存储桶,所以说cf几乎无敌的,适用于中小站点,但是你做大做强得考虑国内用户体验和速度就不行了。
套上cf几乎无敌,那些卖攻击的人,自己网站都套的cf加一个宝塔付费防火墙
4-接入多个cdn,没用的,因为cdn死扛本来就不会宕机,问题出在没用滑块验证,被刷流量,你接入无数个cdn一样会被刷
5-cos中一般都是静态资源,所以我们要在cdn中禁止请求cos中资源的请求url中带参数,防住cdn判断无此资源,直接回源,从而导致cos被刷。也可以不禁止参数,但是在cdn的缓存功能中设置忽略用户参数(有的cdn没有这功能,看情况吧)。
6-套两层cdn,第一层是死扛第四层的cdn但是没用滑块验证,第二层套上海云盾cdn,不死抗但是有滑块验证,这样就又能死扛又能防止cc了。首先上海云盾有速率限制,但是按道理确实可以用,不过免费的cnd的waf终究效果不好,而且操作起来很麻烦,两层cdn速度也慢了,还不如直接接入cf。
如果说先第一层接入cf,第二层国内cdn,也是愚蠢至极,这还不如直接接入cf。
所以只有方法1可行,搞个有人机验证的cdn就行了,如果实在不想搞,那被cc攻击了,动态请求的防护就通过关闭国内cdn开启cloudflare解决,防止源站被动态请求打宕机。cos的防护没办法的,但是不会被打死,只会被刷流量(加速cos的国内cdn不要关,还可以为cos分担流量)
买死扛的带有人机验证的cdn,cdn和cos防刷都解决
或者牺牲一点速度,动态防御用cf和宝塔自带的nginx免费防火墙,cos就让它刷,如果刷的钱少于买人机验证的钱,就让他刷,牺牲一点动态请求的速度而已。如果超过了人机验证的钱,就买人机验证,速度和防刷都解决。
或者牺牲速度全站接入cf
三个方法可以保证可用性
(这三种方法都是cdn层面,你服务器层面也可以配合免费waf防cc,服务器层面防住不了刷cdn和cos,但是可以保护源服务器)
1-买死扛和带cc人机验证的cdn;2-买死扛不带人机验证cdn,cdncos流量让他刷;根本成本来决定1还是23-牺牲速度,全部接入cf,存储桶也用cf的
其实宝塔专业版也有人机验证,但是只是防止源站被cc击落,不防cdn和cos被刷。
平时和小学生攻击的话
第四层攻击:平时随便挂个死扛cdn就行。第七层攻击:设置宝塔nginx免费防火墙60s内请求同一个url多少次就封等和禁国外ip完全够用了。cos和cdn刷量:配置自定义域名,cdn保护cos不暴露源存储桶域名即可,小学生一般没资源去刷量。
其实宝塔自带的nginx付费防火墙(一般被攻击的时候速率限制60s30次,正常用户也能保证访问)(没钱买你去找一下宝塔开心版,有纯免费的如,也有tb上他们破解后加入自己授权机制卖的,但是破解版小心后门,需要找那种用户量大的,因为各大牛都分析了,就大概逻没有后门,但是还是有风险不建议使用嘿嘿)还可以,但是如果你是轻量云等一些配置低带宽低的服务器,还是防不住攻击的,因为虽然它把带宽拦截了,但是如果你用了cdn,那么所有恶意请求其实通过了第四层到了第七次的nginx才被拦截(因为第四层看的是实际请求ip,你给攻击者封ip没用,他的请求其实是通过cnd的ip代理的),其实已经建立了连接,只是建立后返回了4xx的请求,攻击者请求多,你拒绝也得占用资源,还有建立了连接也有ssl握手,也得产生流量,这些流量在宝塔监控面板不显示,但是是存在的;所以即使拦截,你的服务器也顶不住,所以最好是带waf防火墙的cdn在前面顶。
有点水平的攻击:
第四层:死扛cdn就行。第七层:开启cf,设置宝塔nginx免费防火墙和cf的策略和五秒盾。cos和cdn刷量:cdn保护cos,一般cc攻击也刷不了量,都是打请求。如果被刷,刷的少就随缘,刷的多就买带人机验证的cdn去保护cos,或者买个高防被打秒解高带宽高存储的机子,直接不用cdn和cos。kuai
cf可以优化优选节点,让国内访问更快,但是再快肯定也没有国内cdn快
高手付费攻击:没钱就全部接入cf死扛,存储桶也用cf的,访问速度慢而已。有钱就上更好的死扛高防cdn人机验证waf套餐(还可以上定制的人机验证更稳)去保护网站和cos,源站上带waf的高防高配高带宽服务器(比如什么十堰高防)。
上个800g源站高防,再来个单节点全800g高防cdn,定制访问人机验证和各种cc请求人机验证,藏好源ip,我不信有人能压你。
最牛逼攻击:这种攻击基本上,我们个人站长自己运维是处理不过来的,他会有专人去找你网站的各种漏洞,比如cc攻击也是盯着那种耗资源最多的接口攻击,然后你有防火墙策略,他有绕过策略,你人机验证,他也写脚本实现自动化等等。这种就找知道创宇等这种专业网络安全公司,几万一年包你无忧。
tips:对cc源站来说,又分刷带宽,也分刷动态请求的cpu和内存。
如果是刷动态请求,那么你所有的操作mysql等需要占用资源的请求都加入人机验证即可,然后cdn加入频率限制。
如果是刷带宽,是通过大量请求(请求后就断开)的刷带宽,虽然没有实际的流量持续请求,但是大量请求的ssl握手等就会占用源站带宽,那就加入cdn频率限制即可,到达某个频率就人机验证。
如果是攻击者在卡着频率限制内的,正常的一直占用你的带宽,因为你的cdn已经处理了大量js和css请求,所以你的源站只提供了html的下发和动态请求,所以你可以在源站nginx防火墙等中可以设置低一些的频率限制,如60s内20次,正常用户也不会1分种内请求20次html,也就是访问20次不同页面或者动态请求(如登录)20次。这样就可以缓解带宽压力。
攻击者卡20次的频率,20次html,一次50kb,一分钟1mb,对面ip多了,其实也顶不住,但是ip越多,攻击者成本也很高,人家都花钱打你了,你不得也上更高的带宽配置去防御,或者监控ip的流量情况,如果某个ip一直有规则的刷流量,就给它封了。
其实也不用担心,有cdn死扛第四层也差不多了,因为普通的cc攻击基本上是动态请求,动态请求一般人没法刷量攻击一直刷你流量,因为你封了国外访问,刷量攻击是需要真实ip和我们的ip建立连接的(动态请求同样要真实ip,只是刷量得消耗流量,资源消耗更大,所以一般cc攻击也是动态请求,并不一直刷你流量),因为国内没那么多肉鸡ip和流量攻击你,除非人家花钱攻击你,你值得别人花钱,说明你也有钱,你上更好的防御就行了,他的攻击成本可能比你防御成本还高。
但是动态请求就能把我们服务器打死了,但是这个打死只是cpu等爆满,并不会被服务商比如腾讯云拉入黑洞,攻击结束后十多分钟服务器就恢复了,一般小学生用的免费攻击也就几分钟攻击时间,如果你业务不打,大不了宕机十多分钟,业务大你上人机验证就行了,也不差这点钱。其中也有免费的一直打的cc攻击,但是流量很小,你封个海外ip,然后配点免费的waf,然后小厂cdn也有基本的waf,也能防住。
当你的源ip没有暴露(暴露了可以联系厂家换ip),别人ddos攻击你,其中第四层攻击udp tcp等各种大流量协议都是打的ip,不能直接攻击你的服务器,而是攻击的cdn的节点服务器;基于http协议的cc攻击才是争对你域名动态请求的攻击;大厂cdn给你接入cdn,当你遇到攻击,大厂会根据为你提供的节点ip和被攻击的ip进行一系列对比,从而知道是你的域名网站引来的攻击,如果你没买ddos独立防御,为了保证充足的防御资源,就会把你的网站暂时撤离cdn服务了,不会帮你抗第四层攻击。
而小厂cdn,也许他总共就那么50个节点ip,所有用户公用的,他根本没办法知道是哪个客户的域名被攻击了,可以根据哪个客户网站有大量cc的动态请求初步判断,但是也不能凭这个就乱封不是,所以不会把你拉入沙箱(有的小厂cdn也拉沙箱),他只能用自己的资源去硬抗,这并不代表小厂比大厂好,只是小厂的资源被你们所有用户共享,他赌的就是不会同时多个客户被攻击,当多个客户被攻击,他cdn直接全挂了。
相对于小厂是群防,所有人共享防御,不是个防,所以便宜,万一一个用户被大佬攻击,可能还影响到其他用户。
而知道创宇和白山和网宿这种,节点特别多,一个域名给一百个cdn节点,专门防御的,即使你没买独立ddos防御,一般也不会把你拉入沙箱,因为那么多节点一般流量根本打不动,根本不痛不痒。而且他也不好判断谁被攻击了,但不是说他们比腾讯云阿里云资源多,只是说策略不同。
如果你的站很大,买了普通的人机验证等等防护没用,接入cf也没用,需要保证业务的100%稳定,那就花几万每年买知道创宇和白山那种专业防护就行,上定制人机验证和各种策略,还有渗透防护等各种功能,基本上解决所有网络攻击。
你还可以像宝塔独立waf一样,部署一_立服务器(注意带宽要大于源服务器,木桶效应)专门中转流量做waf(和反代防御虽然原理不同,但是功能差不多);其次你源服务器也可以购买高防ip服务器,源服务器自带强力waf,其次再防不住流过来一点恶意请求,因为你源服务器本身高防而且资源配置高,所以根本就不怕了。
什么宝塔自带的nginx防火墙,什么开源防火墙,那些防护cc的规则也不是说没用,但是只能防护一些小型cc攻击,大点的攻击还是得人机验证,只是小白刚开始是了解这些防火墙。其次即使waf带有人机验证等或者能防住cc,也建议在cdn层面就把攻击拦住,因为即使源站有waf能防御cc攻击,也消耗源服务器的部分资源不是。
宝塔的nginx防火墙需要给cdn加上白名单吗?会不会因为cc防护规则,封cdn的ip
注意,你源站服务器上安装的防火墙什么cc策略比如单ip访问url30次就拉黑,这些策略对cc有点点用,不过一定记得要把cdn的所有ip拉入白名单,不然他会把cdn也拉黑,有的cdn节点是智能分配的不是固定的,你可以联系cdn厂家为你提供动态接口获取动态cdn的ip,动态拉入白名单。(如果防火墙没有识别cdn中header以此知道真正请求者的功能,就需要给cdn加上白名单,这样的话所有请求也都会算是cdn在请求,然而cdn又是白名单,那这个防火墙直接失效了,所以一般防火墙都有识别header的功能的)
经过测试niginx防火墙不需要将cdn的ip拉入白名单,因为cdn通常会设置请求头header中的real_ip_header和forward参数,nginx可以从此参数知道真正请求者的ip,虽然请求者的请求是通过cdn请求的,但是这次请求仍然会算是请求者在请求,而不是算cdn的ip在请求,所以即使触发cc防护规则,封的是请求者的ip而不会是cdn的ip。也就是说nginx防火墙通过cdn请求的header知道真正的请求者ip。举一反三即使你给cdn的ip加上白名单,那么请求者通过cdn的ip(在白名单内)频繁请求也会被封的(封请求者,cdn本就不会封,而且它在白名单内,更加不会封)。
那么攻击者会不会伪造自己是cdn,欺骗防火墙,然后伪造header,以达到带入大量恶意流量?
目前我没遇到过,我们配置cdn的时候都上传了证书,应该有验证的,伪造不了,我自己cc攻击测试的时候也没遇到过这种伪造。
服务器自带的firewall防火墙取的是请求者的哪个ip?
我此前设置过移除服务器的http和https服务,也就是说所有人不能访问我的服务器打开我的网站,但是我设置了cdn的白名单在firewall,此时网站是正常访问的,以此可以知道在firewall所有的请求ip就是算的当前实际请求的ip,不会和nginx防火墙一样去看什么header去得到真实请求者的ip。否则如果是去得到真实请求者的ip,我是禁止他们访问的,网站怎么会正常打开呢。
宝塔面板中的网站的日志也是显示当前实际请求ip,不会去分析什么header
cos存储桶配置
1-按照各大厂商的防御机制都配置一下。
2-加入图片压缩,比如图片上传到cos中,自动把图片全部转为webp格式,可以节省流量,用户访问也快。(有的cdn也有自动下发用户为webp格式图片,但是你cos下发给cdn的还是jpg等,不能节省cos流量)
腾讯云cos的图片处理是通过用户访问的时候转化为webp,用户每次访问都得计费,cos存储的还是jpg等。如下方法可以直接把cos内存的就是webp,那么用户直接访问的也是webp,所以收费一次即可。
看不懂就开工单
1-在修改东西之前一定要备份,要清楚的找到自己修改了什么,步骤都要日志记录。
2-nginx防火墙,各种插件防CC,防渗透插件等,cdn防火墙,这些功能的使用要清楚基本原理,否则互相冲突,正常访问都禁止了,你也不知道谁禁的,那就麻烦了。(比如要给cdn的ip加白名单,否则防火墙会拦截。)
比如网站加cdn后,源服务器只和cdn通信,那源服务器上的这些cc的waf其实没用了对吗?,因为其实源服务器是和14个cdn节点在通信,但是这14个节点都加上白名单,也不能限速。
不对,很明显源服务器虽然只和cdn通信,但是源服务器的cc防火墙也能拦截客户端ip(因为cdn会把客户端ip当作参数传给源服务器),兼容的防火墙就能通过参数再去防御(限速封禁ip等)。
3-cdn厂商一定要正规或值得信任,因为接入cdn解析,其实用户访问你域名获取的资源,cdn厂商是可以控制的。
4-设置cdn被打死不回源。(这个不是设置dns里面的,源站ip不提供服务,而是cdn的设置让cdn被打死不回源,如果没有设置就联系客服,这个和在防火墙设置除了cdn的ip访问,其他的ip全部禁止差不多的效果)
5-不要设置什么搜索引擎回源,攻击者可能伪造搜索引擎和蜘蛛等,去获取你的源ip
6-不要让服务器有直接获取外部资源的接口
如上你的源服务器就请求了攻击者的资源,攻击者就得到了你的源ip。
子比是没有这种接口的。但是平时安装wordpress插件等,都要认真审查内容代码,防止有后门。
其实找个好点的带人机验证的cdn,面对小学生那些免费攻击,基本上99%稳了。
只是天外有天人外有人,不得不防,如果用的大厂的cos和scdn最好还是了解原理,稳一点做好防刷比较好。
你得理解所有攻击,分析出自己的问题,是漏源站了,还是被cc了,根据情况去防护。
1-如果遇到长时间的ddos,且自己无法解决,为了防止百度等搜索引擎降低seo权重和k站,可以在百度平台提交闭站保护。
2-创建一个静态页面或者通过小飞兔等软件把网站页面以静态的方式都爬取下来;然后挂载在cloudpage或github或者gitee或者vercel上,让用户有静态页面显示,只是不能交互了,(一般有月流量限制),ddos最多刷量,但是刷一个换个号继续部署就行。
这是没钱的学生做法,实际上,保存静态访问很简单,你随便上个cdn,cdn把动态请求关了(比如设置?参数后全部忽略,基本上源站不会被死的,目的相对于全部让cdn去提供服务了,源站只下发一次静态资源给全国各地的cdn节点)
3-平时接入国内cdn线路为默认,接入cf为境外ip服务,当被攻击了,国内没有人机验证的cdn如果防不住cc,就全站接入cf,也就是说国内cdn直接关了,把cf全站接入,禁止国外访问,源站只允许cdn访问。如果需要国内高速访问就花钱接入国内带有滑块验证等人机验证的的cdn。
tips:同一个主机记录,比如主机记录为www,类型为cname,可以设置多个不同的记录值的,线路也可以一样,也就是说可以同时接入多个cdn,dns系统一般会选择最好的一个cdn节点为用户提供服务。
这个只是分担第四层流量,第七次的请求攻击,如果这些cdn没cc策略,你接入一万个都是一样会c到你源服务器。
4-如果源站泄露,找到泄露点修复(比如ssl证书泄露),再更换源ip
5-禁止国外访问,封国外
禁国外是在服务器防火墙层面设置,或者nginx层面,也可以叫cdn封国外;但是在dns封国外没用的,比如你设置个线路境外,返回,这根本没用,因为dns解析是可以改的。攻击者发现回环了,可能自定义dns解析去攻击你。(当然这是攻击者针对攻击你,小学生用tg的机器人攻击你,没这自定义dns解析的功能)
6-源站设置只允许cdn访问,也就是说把cdn的ip全部加入白名单,其他的直接移除http和https访问。
再次提醒,你必须熟悉各应用如dns,cdn,cos,服务器防火墙,nginx防火墙和各自waf防火墙是部署在哪作用于哪的,如你得知道用户访问你的网站,流量的一步一步是怎么走的,如流量到源站肯定先过服务器防火墙再到nginx防火墙等等,否则搞着搞着网站就出问题打不开了或者各种问题。。
再比如宝塔nginx防火墙付费版就有人机验证waf,但是这个是保护源站的,防止不了cdn被刷量,因为不是cdn的waf,如果你不懂流量走的过程的话,就可能会白买。
其次各大平台配置等大同小异,但是可能有点不一样,建议用功能的时候先看文档,如nginx防火墙等防火墙的白名单肯定是白名单成员不受防火墙的策略限制,比如nginx的cc封禁规则不会封白名单ip,其他用户正常访问也不会拦截,只在触发规则后拦截。但是如果是cdn控制台有一个白名单,比如UA白名单和referer白名单,有可能你设置了,就是只能白名单访问,其他访问者直接是拒绝访问。遇到网站大不了,可以看看是被cdn拦截还是服务器拦截,去分析就行。
7-如果你的业务正规,你可以和另一个公司签一个合同什么的金额写100w(如果你公司网站没有价值,叔叔不管),侧面证明你的网站价值100w,封国外访问,然后被攻击了,直接报警和报网安,直接上门抓人。
8-如果你的cdn和cos被刷欠费,你可以去说明情况,争取减免费用或者减免一半或者三分之二的费用。
9-如果你的服务器被打死了,无法解封,你要保证服务,那么你可以直接用备份恢复到其他服务器即可,如果没有备份,如果你是大厂服务器,你可以通过镜像(永远服务器内所有内容和环境)去恢复,大厂封服务器期间也是可以生成镜像的。
10-当源站暴露后,且对面是高手,无法隐藏源站,那就先设置源站防火墙设置只允许cdn访问防御第四层ddos和第七层cc攻击,这样后cc基本上能解决,如果第四层还是顶不住,就换高防源站加强防御ddos第四层。
11-被攻击刷量日志保留当证据,申请费用减免,到时报警抓人也有证据。
网站建设维护 知乎 第2篇
如果你不想让别人查到当前域名的注册人,怎么办呢?
CN域名默认是开启姓名和邮箱的,就算你在注册商这里隐藏(腾讯云,阿里云等),在官网(上面链接)还是可以查到的。
解决:需要花39每年,在注册管理局层面隐藏,具体操作工单咨询域名购买平台(阿里云腾讯云等)客服即可。
COM域名
COM域名一般没有whois详细到个人姓名和邮箱。因为注册局根本没要这个信息(那怎么证明这个域名是你的?我也不清楚~)。
虽然注册局没要,但你在腾讯云或者阿里云注册的com域名也是默认实名了主体的,也证明了你是此站点的持有人,这个信息是保密的(当然你犯事了除外)
其他后缀域名
这些域名有些会显示姓名的英文,但是不会显示邮箱,具体看后缀注册管理局和注册商了。
如何联系COM后缀域名站长
有时想买一个COM域名,站长又没有给出联系方式,因为是com域名whois又查不到信息,怎么办?
可以先简单whois出当前域名注册商,再去去各大注册商(腾讯云,阿里云等)的官方whois平台,一般可以在这里联系到站长(可以通过注册商这个第三方联系,比如你在阿里云的whois告诉阿里云我要联系当前域名站长,阿里云就会发邮箱给站长:说有个人想联系你,你想和他联系吗?)
TIP:一般新注册域名无法马上转出到其他服务商,如阿里云新域名注册后60天内无法转到腾讯云或者godaddy的。
网站建设维护 知乎 第3篇
1-站点速度分为,解析速度+连接速度+下载速度+重定向所需时间
解析速度:
dns解析,这个没办法,一般麻烦的也够用了,你想更快就得去买付费的dns解析,比如四五十一年的那些,在域名服务商解析控制台那里就可以买。
连接速度:
加入cdn,找个稳的好用的cdn
下载速度:
无论再怎么优化站内文件,也和你的服务器配置带宽,和cdn的带宽,和对象存储的带宽等配置相关。
视频统一无损压缩一次,大视频单独进行m3u8切片处理。
小视频没必要进行m3u8切片处理,因为mp4本身也有类似切片的功能,一段1min的视频,大概会切成5份,每份20s,也够用了;进行切片分成如100份,反而画蛇添足。
图片输出为webp(cdn中一般有,cos中也有,或者wp插件也有,但是作用的地方不同,根据需求选择)
重定向:
2-什么nginx优化配置,比如zstd压缩比设置为6,还有那个配置文件内的详细设置,你如果懂,可以自己参考优化;mysql优化配置,还有服务器swap等都可以百度设置一下。
3-使用quic协议的http3,让网站速度更快。20240920,这个时间点支持http3的nginx,宝塔官方是没有的(目前好像有了,),需要自己去nginx官方找,然后通过防火墙命令安装。如果你用了cdn,cdn也得支持http3才行。
4-加入图片压缩,比如图片上传到cos中,自动把图片全部转为webp格式,可以节省流量,用户访问也快。(有的cdn也有自动下发用户为webp格式图片,但是你cos下发给cdn的还是jpg等,不能节省cos流量)
上传时转化:
方法一:
工作流中用到的函数也计费的,但是我们是自己上传的图片转换一次就行了,费用基本忽略不计。
缺点:当前我们用的wp插件上传后,用户上传的是jpg,访问链接就是jpg后缀,我们cos中虽然有了webp,d,但是用户前台访问的链接还是jpg的,需要额外配置用户前台访问图片的后缀。
如何配置用户前台访问图片的后缀?如下代码加入到wp主题文件中的的末尾即可
//配合cos工作流使用,作用:将新上传的后缀为jpg,jepg,png的图片转化为.webp后缀链接,输出给前台用户<开始>function modify_image_url_to_webp($url) { // 检查图片格式 if (preg_match(‘/.(jpg|jpeg|png)$/i’, $url)) { // 替换后缀为 .webp $url = preg_replace(‘/.(jpg|jpeg|png)$/i’, ‘.webp’, $url); } return $url; } add_filter(‘wp_get_attachment_url’, ‘modify_image_url_to_webp’); //配合cos工作流使用,作用:将新上传的后缀为jpg,jepg,png的图片转化为.webp后缀链接,输出给前台用户<结束>
如下代码只影响新上传的图片,如果你要所有图片都转为webp,那你得先把存储通内图片文件都转化一次,然后自己去研究一下代码,问gpt就像。
注意工作流输出文件名字${InputName}_${RunId}.${ext}设置为${InputName}即可,否则用如上方法改了文件后缀,但是文件名称又不同。
优点:只计费一次转化,cos中就存在webp图片,用户前台直接访问webp文件即可。
方法二:
下载时转化:
方法三:1-打开数据万象后,把前台用户的请求图片链接加上如:?imageMogr2/format/webp的参数即可,用户访问的就是webp图片。(现在Wordpress里面的cos插件基本都支持此功能)
优点:简单,用插件开启就行了,不需要自己写代码配置。
缺点:用户每访问一次,都调用了一次转化api,都要计费一次。
如果你只要图片的水印和转化为webp功能,用方法三就行了,因为水印和webp功能属于基础图片处理,不是按次数计费,而是按流量计费,而且每个月送10tb流量,根本用不完。其他的高级图片处理,按照次数付费的那种,就用方法一和二。
方法三,示例图片转为webp和加上水印:
将水印文字内容进行URL安全的Base64编码。例如,”示例水印”编码后的字符串为5L2g5aW977yM5LiW55WM77yB。将编码后的水印文字添加到请求URL中,如下所示:;watermark/2/text/5L2g5aW977yM5LiW55WM77yB/fill/IzNEM0QzRA/fontsize/20/dissolve/50/gravity/SouthEast其中:watermark/2 表示当前的处理为文字水印。/text/5L2g5aW977yM5LiW55WM77yB 是编码后的水印文字内容。/fill/IzNEM0QzRA 表示水印文字颜色,这里使用的是黑色。/fontsize/20 表示水印文字大小,这里设置为20像素。/dissolve/50 表示水印透明度,这里设置为50%。/gravity/SouthEast 表示水印位置为右下角。
其中前面的的?imageMogr2/format/webp是转化为webp的参数,后面是水印参数,用&连接,还有其他需求也用&连接即可。
计费和流量走向:设置用户前台看到的链接就是(wp的插件都有这些功能),当用户请求上述链接后,cos先把图片转为webp,要消耗数据万象的基础处理的流量,然后下发给用户客户端,再占用cos下行流量。
图片基础处理和图片高级压缩默认支持3000QPS,如果您的总请求QPS峰值高于3000,请联系您的商务经理或 提交工单 咨询高QPS的开通及计费事宜。
实际上,用了万象数据的这个功能,用户请求cos的请求中就带参数了,会导致直接回源,攻击者可以利用这个刷cos的流量。所以我们如果要用这个功能,最好固定使用的万象功能,比如水印和转webp,然后设置用户的请求到cdn,忽略参数,cdn回源的时候不忽略参数,这样每张图片cos万象处理一次给cdn缓存后,cdn下发给用户的也是带水印的webp图片。(用了cdn和cos,只要你配置正确,正常来说cos根本不需要花多少流量,主要是cdn的流量)
或者你固定万象功能后,记好参数,如?imageMogr2/format/webp&watermark/2/text/SmluTmlhblguY29t/fill/IzNEM0QzRA/fontsize/20/dissolve/50/gravity/SouthEast,除了这个参数的请求全部禁止,然后这个参数也会被cdn记住下发,那么就不会回源和被刷了。