網站遇到采集者是很常見的事情,因為采集太快太多導緻我們服務器負載過高的事情也時有發生,我們一般都是收到網站打開太慢或者服務器負載過高報警的消息後及時進行處理,在apache設置.htaccess上把該屏蔽的屏蔽就可以了,偶爾需要用到iptable或者阿裡雲的安全組來屏蔽🚫。
不過上周遇到有台服務器一直報警的事情,感覺不是普通的采集,而像是攻擊,來訪量突然增高很多,apache日志增加了一倍,來訪IP非常分散,而訪問的網站、網址很随機,沒有流量的新網站、很久前的老網站、人類訪問者不太可能去訪問的網址都不停在訪問。用以前的日志分析、屏蔽的辦法不太靈,需要屏蔽的太多太多了,沒法找到很明顯的統一特征🤔。
最明顯的問題體現在服務器進程數非常多,超過800後Apache多次自己重啟,從阿裡雲監控後台看到TCP鍊接是以前的很多倍,我們統計了一下,除了被我們屏蔽的以外,訪問返回200正常狀态的次數增加了1倍多,搞得正常訪問很多被打斷,我和同事花了1、2天的時間盯着來找特征、屏蔽,勉強維持服務器狀态,盡量讓網站訪問得以正常進行,就是很耽誤我們做其它正事🤬。
這樣搞了30多個小時後,這種攻擊自己停下來了,我們分析攻擊者這兩天需要調集數萬以緻數十萬IP來進行攻擊,本身也是很消耗資源的,而且很有可能是需要花費費用的,卻得不到他們希望的效果,看到我們網站也基本保持了可訪問,他們就放棄了✌。如果對方依然沒有停止的話,我們也想好了應對的辦法(啟用我們以前用到過的PHP程序,對來訪IP、User-Agent、Referer等特征進行更精細的記錄和特征識别,例如一個IP不斷變化User-Agent顯然是有問題的,總是可以盡快進行屏蔽的),隻是還沒有來得及實施😎。
這些IP主要來自江蘇等地,中國互聯網上也有一些奇葩和灰色産業者,我們都不明白其攻擊的用意,消耗大量資源來對我們網站進行攻擊的目的是什麼。當然他們明白我們無論如何是不會放棄對抗的,我們堅持了十多年的網站怎麼可能被這種攻擊就搞垮了呢,即使需要升級配置、對着比消耗資源,我們也一定會堅持到底。而對方損人不利己的事情也無法持續很長時間,邪不壓正💪,呵呵。
评论