0x01 前言

刚过完2018年就遭受了DDOS攻击,这次攻击也是最严重的一次。我的站点只是一个小博客,被攻击并不会造成任何影响与损失,但我必须写一篇文章做个记录。

上一次被攻击是在2018年的4月10日,这天我的博客在我下班之后遭受CC与DDOS攻击,但攻击程度不高,在经过几小时与攻击者的博弈后,对方终于放弃了,期间我的站点并未中断服务。以下是这次攻击的文章:



0x02 告警与排查

这次攻击是在1月7日凌晨4点左右开始的,当我6点半起床时发现手机里的企业微信信息数量爆表,全是网站存活和服务器失联的告警:

从zabbix中也可以找到告警的记录,可以服务器失联时长为2小时53分钟,期间共发出40次告警:

因为我是早上6点半起床的,所以发现服务器网络异常后随即打开电脑,正想联系服务商的时候却发现他们已经给我发来了邮件,内容如下:

邮件中说服务器收到异常的入站UDP流量,但我的服务器上并没有运行任何需要用到UDP协议的服务,而且防火墙默认是禁止任何UDP流量传入的,有需要就得手动添加白名单。

打开电脑准备建立工单联系服务商,而此时在邮箱中发现服务商已经给我建立工单说明问题,看来我能做的只有回复邮件,说明情况了,邮件最后我还索要这次网络异常的相关信息。

0x03 异常流量

以上是本次攻击事件中流量较高的IP地址,全都是VPS服务商的IP,由此看来都是被控制的肉鸡。以下是相关流量的截图:

因相关截图涉及公司网络架构信息,已删除。

  • 线路1流量峰值7.5Gbps
  • 线路2流量峰值2.5Gbps
  • 线路3流量峰值1.2Gbps

以下是接收到的数据包数量:

  • 线路1接收数据包峰值:823kps
  • 线路2接收数据包峰值:181.2kps
  • 线路3接收数据包峰值:69.8kps

0x04 结语

这次攻击也有可能并不是针对我的博客,毕竟这香港的VPS服务商也是个大目标,而我的IP恰巧被选中而已。相比址下,上次的CC攻击则很有可能是针对我的博客了。

在这次遭受攻击的一瞬间,服务商的防火墙随即被触发,这也是最基本的防护,而指向我IP的所有流量都会被丢到黑洞。

什么是黑洞?简单来说就是丢包,但这个丢包有点意思。如果是我的服务器丢包,那么我肯定会收到传入的数据包,而对方则不知道我有没有收到,因为我将数据包丢掉且应答。而触发黑洞规则之后,数据包会在到达我服务器之前就被丢弃,这有可能是防火墙或抗DDOS设备的动作,因此我的服务器并不知道有数据包传入,对方也不会收到应答。于此同时,我服务器主动传出的数据包也会被丢弃,但我的服务器并不知道,直至超时。

简单来说,黑洞就是服务器前面的安全设备将和我设备有关的数据包都丢弃,且不通知我和对方。