CloudFlare Business 依旧被搞瘫痪求助

CF 里面是不是有条 direct 的记录 ...

当然，如果你有 CDN ，你需要在源服务器上配置只接受来自 CDN 的流量。

你加上cdn之后没有换源ip，这样cdn根本没有用，对方还按照旧的ip打。
限制只允许cf的ip访问对于ddos来说也没有用，因为流量还是到达了你的服务器，只是你自己选择不接受而已。

看下日志.应该是DDOS绕过了CDN,直接到了后端IP.
建议Nginx限制下,贴上日志看下.染过CloudFlare一定有规则.

发邮件的时候暴露了 IP，换用 Mailgun 或者 Sendcloud 什么的试试？或者把邮件服务器单独出来？

Return-Path: <www-data@li***-***.members.linode.com>
Received: from li***-***.members.linode.com (li***-***.members.linode.com. [106.185.52.*])
by mx.google.com with ESMTPS id do3si16706383pbb.158.2015.02.21.18.12.13
for <[email protected]>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Sat, 21 Feb 2015 18:12:13 -0800 (PST)
Received-SPF: none (google.com: www-data@li***-***.members.linode.com does not designate permitted sender hosts) client-ip=106.185.52.*;
Received: from li***-***.members.linode.com (localhost [127.0.0.1])
by li***-***.members.linode.com (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP id t1M2CAut010538
for <[email protected]>; Sun, 22 Feb 2015 10:12:10 +0800
Received: (from www-data@localhost)
by li***-***.members.linode.com (8.14.3/8.14.3/Submit) id t1M2CAYa010537;
Sun, 22 Feb 2015 10:12:10 +0800
Date: Sun, 22 Feb 2015 10:12:10 +0800
Message-Id: <201502220212.t1M2CAYa010537@li***-***.members.linode.com>

另外 DDoS 在 iptables 限制其实没多大用 ... 流量都已经到你主机了才 drop =_=

@a2z IP换过了。。。那就无解了么。。。 - -

@Yamade 日志看不出来异常。。

@Jack 贴出来在说.

@aveline 没有用邮件服务。。。被攻击的网站是subhd.com。。。

PS：有没有自带防御的大陆访问速度还不错的国外主机服务呢？！。。这么搞实在太麻烦了。。。贵点也没关系

不会是subhd吧

@aveline
@a2z
请教两位，iptables 对 DDoS 的防御作用真的没用嘛？
比如常见的 syn 攻击，流量最多也就是握手包吧？
似乎 udp 协议的攻击流量会大一些…

这你应该去hostloc.com问

是不是哪个子域名暴漏的 IP ？或者是 @ 裸域？
DDoS 攻击的大多数都是没有技术的，不会去挖掘你的程序漏洞的，甚至他们连修改 host header 都不会。

@elgoog 估计是...搞不明白为什么这么好一个字幕站不找谁不惹谁会被攻击呢？

@Yamade 173.245.62.109 - - [21/Feb/2015:20:53:02 +0800] "GET /search/%E5%AE%9E%E4%B9%A0%E5%8C%BB%E7%94%9F%E6%A0%BC%E8%95%BE HTTP/1.1" 200 7030 "http://subhd.com/search/%E5%AE%9E%E4%B9%A0%E5%8C%BB%E7%94%9F%E6%A0%BC%E8%95%BE" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
199.27.133.22 - - [21/Feb/2015:20:53:02 +0800] "GET /search/%e6%9e%97%e6%ad%a3%e8%8b%b1/ HTTP/1.1" 302 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Sicent)"
173.245.48.137 - - [21/Feb/2015:20:53:02 +0800] "GET / HTTP/1.1" 200 4322 "-" "Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
199.27.128.230 - - [21/Feb/2015:20:53:03 +0800] "GET /search/Nightcrawler HTTP/1.1" 200 7215 "http://subhd.com/search/Nightcrawler" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
141.101.85.52 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4322 "-" "Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
173.245.62.76 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/poster/s/p2221541233.jpg HTTP/1.1" 304 0 "http://subhd.com/subs" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"
173.245.48.81 - - [21/Feb/2015:20:53:03 +0800] "GET /search/%e7%8b%bc%e5%9b%be%e8%85%be/ HTTP/1.1" 200 3462 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729)"
173.245.62.189 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/shooter/9/%5B%E6%8E%A2%E7%B4%A2%E9%A2%91%E9%81%93.%E5%AE%87%E5%AE%99%E7%9A%84%E5%BD%A2%E6%88%90.%E7%AC%AC%E4%B8%80%E5%AD%A3%5D.Discovery.Ch.How.the.Universe.Works.Season%208%E9%9B%86%E5%85%A8%20%E4%B8%AD%E8%8B%B1%E6%96%87%E5%AD%97%E5%B9%95.rar HTTP/1.1" 206 8192 "http://subhd.com/a/221104" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)"
108.162.222.225 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/poster/s/p2201863327.jpg HTTP/1.1" 200 6053 "http://subhd.com/subs" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"
199.27.128.220 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4448 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"
173.245.48.125 - - [21/Feb/2015:20:53:03 +0800] "GET /www/js/subhd.min.js HTTP/1.1" 304 0 "http://subhd.com/search/Nightcrawler" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"
108.162.222.222 - - [21/Feb/2015:20:53:03 +0800] "GET /subs HTTP/1.1" 200 7316 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.111 Safari/537.36"
173.245.62.189 - - [21/Feb/2015:20:53:03 +0800] "GET /sub/shooter/9/%5B%E6%8E%A2%E7%B4%A2%E9%A2%91%E9%81%93.%E5%AE%87%E5%AE%99%E7%9A%84%E5%BD%A2%E6%88%90.%E7%AC%AC%E4%B8%80%E5%AD%A3%5D.Discovery.Ch.How.the.Universe.Works.Season%208%E9%9B%86%E5%85%A8%20%E4%B8%AD%E8%8B%B1%E6%96%87%E5%AD%97%E5%B9%95.rar HTTP/1.1" 206 12288 "http://subhd.com/a/221104" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)"
173.245.62.151 - - [21/Feb/2015:20:53:03 +0800] "GET /www/js/subhd.min.js HTTP/1.1" 304 0 "http://subhd.com/subs" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
173.245.48.80 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4322 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"
173.245.48.137 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4321 "-" "Mozilla/5.0 (Windows; U; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
199.27.133.28 - - [21/Feb/2015:20:53:03 +0800] "GET /search/%e6%9e%97%e6%ad%a3%e8%8b%b1/ HTTP/1.1" 200 4662 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Sicent)"
108.162.215.131 - - [21/Feb/2015:20:53:03 +0800] "GET / HTTP/1.1" 200 4352 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 718; .NET CLR 2.0.50727; AskTbAVR-IDW/5.15.2.23268; youxihe.1647)"
108.162.222.141 - - [21/Feb/2015:20:53:03 +0800] "GET /d/6533054 HTTP/1.1" 200 3933 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36"
173.245.62.121 - - [21/Feb/2015:20:53:03 +0800] "GET /subs HTTP/1.1" 200 7202 "http://subhd.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"

@typcn 我就想知道啊。。 但是目前无解。。。

1. Linode不抗D。去找OVH先。

2. 换IP Range，飞走。

3. 关闭一切的直接访问途径。一般泄露的是邮件等地方。把他们拎出去，换其他服务，或者换别的机器。

4. 确定你的主IP不暴露后，去CF把安全调到最高吧。

5. nginx设置下，只接受CF的IP段，避免扫描大法。

你的防御比他的攻击便宜，等等就是了。

@Jack 你给的日志看都是正常的访问IP,这些IP来自 CloudFlare. 能不能贴下绕过 CloudFlare 的访问IP日志.

```
netstat -tan| sed -e '1,2d'| awk '{print $5}' | awk -F: '{print $1}' |sort|uniq -c |sort -nr |more

```
这条命令看下哪些IP不正常.

@Yamade IP早挂空了，你说的那些没有日志

@Jack 攻击者的ip日志木有?用了CF 还要加点nginx配置才好用.我也被攻击过.也买过cf200 刀的服务.建议你看下日志.找出规律

@oott123
只要源ip暴露想打挂的方式有很多。
互联网就是个黑暗森林

樓主，我的建議是這樣的。
1、在iptables上限制。如果你嘗試用nginx限制攻擊者，你會發現負載一點都沒有降低。
2、可以添加 nginx-naxsi，配合fail2ban使用
3、趕緊換個ip，郵件用第三方
4、可能的話還是換aws之類的雲服務，防火牆槓槓的

被广电总局攻击了？

@chinvo AWS抗D太贵了。OVH抗D便宜点。

总之一句话：别暴露源IP。暴露了就必须换，侥幸心理只会立刻被揍趴下。就是无脑UDP洪水都够你喝一壶：占满你的口，你就挂了。

@cnbeining aws攻擊流量不計費（寫ticket給客服就能免）

azure可以

OS X 下訪問變亂碼了……

@chinvo
@cnbeining
@chinvo
AWS可以在不用CF直接暴露IP的情况下直接防御DDoS吗？。。

楼主你是在被 DDoS 之后才上的 CDN 么？那之后有换服务器的 IP 么？

@evlos 上了CF之后换过两次IP

试试httpguard

@yov123456 国际版你确定可以么?

建议楼主测试下Azure国际版,有一次微软中国的客服和我说过国际版有这样的防护功能,国内版本的没有.

还是没回复啊大哥。。

@Jack 你日志里面的都是CloudFlare自己的IP，你应该记录访问客户的真实IP。

当然上http://www.blacklotus.net/啊,提供AS/IP段和单台清洗的功能,还有服务器出租.

@wdlth 谢谢，以后需要的时候再搞搞。。

@Jack 试过加速乐吗?

@Jack CF是不会直接暴露IP的，除非你乱设定DNS等作死。

既然换IP还被揍，考虑是不是邮件或者CNAME或者任何其他记录导致了IP被泄露。是不是已经换用Mailgun之类的东西代发邮件了？

CF应该不会回源你的IP，毕竟你交保护费了。。。

你记录IP的确不对，但是的确有帮助。仔细看看日志，是不是有东西绕过CF了？是不是nginx设置了白名单，仅有CF的IP段可以访问？

是不是已经将CF的安全级别调成“I'm under attack”了？这样CF会严密监视你的流量。

@aveline 对了看到发邮件，linode我明明没有装mail有关的组件，话说 怎么dz wordpress都能发得出邮件出来。就linode可以

@cnbeining all done .. 还是被攻击，只能认为是php程序漏洞导致得到了真实IP，但是不知道是怎么实现的

@Jack 有兴趣Q上一起探讨问题吗？可Q霸气无二义就领②②
或者我们可以开个讨论组或者群把贝宁蜀黍一起拉进来看看怎么搞。
DDoS还是很好抗的。
如果你数据库用innodb的话还可以galera搭集群做镜像站玩。

@Jack 你想多了，得搭配CloudFront（AWS的一個服務），如果直接暴露IP，不打你80也可以打你別的端口。

@chinvo 目前不知道打的是什么端口，可能是任何端口

@Jack 不管打的是哪个端口，要避免认出这个 IP 是你的。

@jasontse 所以发了此贴求查漏洞 http://ex.noerr.eu.org/t/172255

@Jack 所以直接暴露IP絕對不是一個好主意。爲什麼樓主執意要直接暴露IP呢？

@chinvo 大哥。。。我是不想暴露IP，我是不知道为什么会暴露啊

@Jack 淡定，先喝杯茶。

你先挪Ramnode或者OVH这种地方，抗打一些。

然后我们细致分析一下为什么有问题。。。

我的邮箱嘛。。。@gmail.com 欢迎戳。QQ嘛，你戳MR的时候也把我戳到了。

刚刚群里已经讨论出个可行方案了。如果有兴趣可以敲我们，没兴趣就算了。

@msg7086 说的好像是我们发动了攻击要让人去交保护费一样。。。。。。。。。。。。。wwwww

@cnbeining 看不懂。。。

@msg7086 什么叫敲你们。。。

@Jack 我们觉得我们好像找到了可以减缓攻击的办法。可以通过我们的联系方式找到我们。