阿里云服务器被DDoS攻击记录

话说用阿里云服务器已经一年多，这一年多的使用体验来说，阿里云服务器至少对于我来说只能是很一般的，阿里云的服务器防御实在是特别一般以至于感觉很垃圾。

我的博客其实流量不大，不过由于我设计的一些主题使用较多，使得我网站的外链极多，这也导致了网站垃圾评论汹涌。所以有利也有弊啊。以前用虚拟主机的时候，人家就跟我说网站负载挺高的，当时也没什么意识。

使用阿里云以来也让我学到了不少东西，也对垃圾评论做了很多过滤，看文章WordPress垃圾评论防御记，以至于我不使用WordPress自带的防垃圾评论的插件Akismet也能保证几乎没有垃圾评论，同时优化了主题数据库请求，有利于网站的打开速度。

那之后的还算长的一段时间，网站至少在访问上也是挺好的，当然这个在2014年12月24日终结。

24日开始阿里云通知服务器被DDoS攻击，服务器进行访问清洗，访问清洗完直接就黑洞了。当然不知道DDoS的可以自行搜索下，阿里云服务器仅支持每秒请求流量5G，超过就黑洞，黑洞就是服务器禁止任何访问，2.5小时解封。然后服务器就进入了流量清洗，黑洞，解封，再清洗。。。无限循环了。然后网站就访问不了，服务器连不上，只能乘着重启服务器成功那一刻将网站blog目录改名，让其访问变为404，减少服务器php请求来让服务器喘口气。

只能限制攻击的IP了，不过这种基本都是使用的肉鸡攻击的，DDoS攻击这种全球性的难题还是没什么办法的。

虽然不喜欢看网站日志，但是这个时候还是得硬着头皮看起来。根据这些天粗糙得观察也得要一些结论。

1、有国外的固定几个IP不停的

POST /blog/xmlrpc.php
POST /blog/wp-cron.php
GET /blog/wp-login.php*

利用xmlrpc.php提供的接口尝试猜解用户的密码，可以绕过wordpress对暴力破解的限制。这个想来是想暴力破解博客的密码，这基本都是荷兰的IP，提取IP然后deny其IP禁止访问。

2、183.56.161.* 不间断的GET网站的各个页面，导致php请求异常的多，直接屏蔽这个IP段的访问

3、这段时间内蒙古访问的流量竟然是最多的，这很不正常，通过对日志IP进行提取，发现内蒙古的IP各有不同，这个比较难防了，我都是一段时间提取一次异常IP，然后过滤掉。

期间也尝试了使用360网站卫士的dns，如果一个正常的没有受到攻击的网站，使用这个还是挺不错的，他有缓存机制，能够加快网站的访问，同时坚持服务器的请求。

他上面也有网站放DDos攻击，不过基本没什么用，或者说我没有看到他的作用。因为使用了他的缓存机制，服务器做的一些防IP过滤就没有用了，因为当被限制的IP访问的时候，会先访问360的CND节点，CDN节点然后请求源服务器，这就导致了，源服务器认为访问的IP来自cdn节点而不是被限制的IP，导致无法禁止访问，同样是的服务器的CPU跑满，网站宕机。

目前还在跟他做着攻防，服务器还是不算稳定，时不时的访问缓慢，或者短暂宕机。

攻击好歹也半个月了，也该停停了，攻击我等小站也没多大意思，何必呢。