小哲博客
当前位置:小哲博客 > 网站服务器 > 正文

网站防御方案:融合CDN自动切换

网站游击防御方案需要监控、高速线路、兜底线路三样服务支撑,防御逻辑是没有攻击的时候我们就用速度快的高速路线,敌人打的时候我们就用防御高的兜底路线,高速线路和兜底线路都是CDN,不用动你源服务器!QQ群在本文最底部,加QQ群联系群主。

网站防御

融合CDN

不同的防御和黑洞时间在遇到攻击时体验不同,比如高速线路不带防御的,遇到攻击马上就进黑洞了,黑洞时间是2小时,那么这两小时内就得用兜底线路,影响访问速度,如果高速线路是带100G的防御,那小于100G的攻击就不会切到兜底线路,超过100G的攻击才会进黑洞切到兜底线路,假设黑洞时间是1小时,1小时后会自动切回到高速线路,如果高速线路是无黑洞的,意味着大型攻击停止后,马上切回到高速线路。

为什么有了高速线路还要有兜底线路?纯DDOS其实挺好防的,机房自带的防御就可以抗住,再不济你就让机房给你封了UDP封了海外,但大部分网站是HTTPS的,这种情况的CC不好防,HTTPS是加密的,机房防火墙没法识别,防不住了就要切换到兜底线路。

自动监控

监控程序每30秒会测试一下攻击和高速线路,根据多个监控节点的反馈,全自动调度解析,同时提供付费的DNS解析,修改解析路线的时候60秒生效,比免费的DNS解析更快速,减少流量流失。

2022年1月13日升级监控程序,引入机器学习机制,对攻击的判断更加准确,刚接入会对攻击比较敏感,随着时间推移,对攻击的判断会越来越准确,所有节点迁移到阿里云和腾讯云服务器,监控也更加稳定,增加2台服务器,共6台服务器监控攻击情况和高速线路稳定性。

有朋友可能会问了,为啥不用DNSPOD的监控呢?可以看一下这张图,这是DNSPOD的监控切换逻辑(不用怀疑图的真假,看官方文档https://docs.dnspod.cn/d-monitor/5f2d466be8320f1a740d9f85):

DNSPOD监控切换逻辑

这个切换逻辑有一个很严重的问题,就是我们大部分网站都会针对搜索引擎的蜘蛛设置单独的回源,直接解析到源服务器IP,然后对普通用户设置另外一条访问线路,这种情况即使被攻击,也不会影响搜索引擎的抓取,但如果你设置DNSPOD的自动宕机切换,注意看DNSPOD切换的最后一个情况【非默认线路是否存在可用记录】,也就是说如果你针对用户设置的默认线路被打的不能访问了,DNSPOD会直接给切到针对搜索引擎设置的那条非默认线路,暴露你源服务器IP

还有一个问题,切出去解析后,攻击打在了其他线路,这个时候高速线路一旦恢复正常,即使攻击没有停,也会切换解析回来,又被打死,进入循环,会频繁切换解析,这也是为啥我要写这么一个监控程序。

瞎聊聊

如果你有钱,直接上阿里云的高防或阿里云的SCDN,游击防御是低成本防御,不像阿里云那么稳定,切换解析的时候,部分地区可能存在DNS缓存,多少会影响一些的,不过你可以问问用过的其他站长是什么情况。

网站防御贵,因为敌人每天打1个小时就得24小时防着,防御成本很高,网站游击防御策略是为了解决成本高的问题,可以看看下面是阿里云400G的高防服务价格:

阿里云高防

为什么要用游击防御?如果你直接解析域名到你的服务器,暴露了IP,被人攻击就会进黑洞,被打进黑洞,服务器无法访问,网站打不开。

怎么解决黑洞问题?套一层CDN,或者用另外一台服务器搭建反向代理,这样用户访问到的是CDN的节点或这台反向代理的服务器,攻击不会打到你的源服务器上,但问题又来了,CDN一般都是按流量付费的,或者套餐里面的流量是固定的,有人专门会针对CDN刷流量,天价的流量费风险很大,反向代理服务器也不是无限抗的,被打依旧无法访问。

怎么解决CDN被刷流量或反向代理被打的问题?套个免费的高防CDN,比如cloudflare,不仅可以防御攻击,流量还是免费的,可cloudflare是海外的节点,访问速度不稳定,不稳定不是说一直慢,是偶尔快偶尔慢,甚至有时候打不开,或者有的地区封CF的免费证书,想自定义证书就得升级套餐。

怎么能低成本防住攻击的同时还能高速访问?我研究出来的的游击防御策略就是搞这个的,为了更容易理解,做了一个简单的示意图,在游击防御方案中需要的三个服务分别是什么角色:

小哲服务一览

我不卖任何的服务器和CDN产品,都是你们自己购买服务器或CDN,我帮你设置防火墙规则。如果你网站受到的攻击量不大,就去买台高防云服务器防DDOS,HTTP的CC机房防火墙就够了,HTTPS的装个宝塔防火墙,我这套游击策略主要是针对那种特大规模的攻击的,实在扛不住再来用这套方案

为啥不做免费防御了?小哲我从08年做网站到现在已经十多年了,很多东西即使谈不上精通,也多多少少算是见识过,很多站长朋友遇到问题也会来咨询我,之前我也帮了很多站长修改代码做防御等工作,但精力是有限的,而且现在除了时间和精力,免费提供高防CDN一年多,更多的是经济上也不允许了。

接入网站数量少的时候,我用几个节点就能搞定,就算被打也是其中某几个站会无法访问一段时间,但现在越来越多的站接入,增加节点就得增加成本,如果不增加节点,被打的概率就会增加,几乎天天都会出现一段时间无法访问,我的博客换了两次域名,现在没啥流量也没收入,所以不搞免费的了,这次提供的是游击防御,希望各位能理解我不免费做防御了吧。

接入CDN监控

网站要求:

1、网站内容要求大部分原创,采集站、图片站、视频站等存在版权风险的站不接

2、网站内容不得涉及反动、黄、赌、毒,其他违法的站点都不行(已经备案的网站一般没问题)

点击加入【高防CDN】QQ群

加群后私聊群主,最近发现,有人申请加群,QQ上面收不到通知提示,可能QQ做了限制,请多申请两次试试。

小哲博客所有内容已通过【鲸版权】登记,未经授权禁止转载!谢谢合作

推荐相关阅读

小哲CDN扛住了757G的攻击

这一年来小哲博客频频受到攻击,前段时间懒得打游击战了,买了高防主机,服务器配置还比较高,我自己这点流量也用不了这么高的配置,所以上线了小哲CDN给各位站长免费用,之前遇到的攻击...

小鹿云:雅安100G高防服务器90元

小鹿云雅安高防服务器90元一个月,配置是2核2G10兆,可选增加多个IP,通过多增加几个IP来防DDOS也是一个不错的选择,一般也不会几个IP同时被攻击,一个IP被打超过100...

亚云:雅安100G高防16核16G云服务器269元

亚云雅安100G高防16核16G云服务器269元,之前介绍过雅安的机房,性价比特别高,亚云最低配的雅安云服务器是99元一个月,100G防御,4核4G20兆带宽,有站长的流量比较...

爱用云互联:香港服务器16元一个月

爱用云互联香港服务器16元一个月,配置是1核1G5兆,测试IP也提供了,可以自己去测试就行,这个IP段从百度直接搜索显示来自香港Cloudinnovation,全国的平均延迟在...

爱用云互联:美国Cera机房服务器16元

爱用云互联美国Cera机房服务器16元一个月,配置是1核1G10兆带宽不限制流量,IP段是Cera机房经典的23.22X.X.X,号称是美西最快的线路之一,在国内的访问速度非常...

小鹿云:高端线路香港服务器

小鹿云香港服务器高端线路产品35元一个月,1核1G10兆带宽的服务器限制400G流量,相比小鹿云自家的产品价格稍微贵了一些,但线路更优,经过小哲我实测,线路比较稳定,速度也挺快...

服务器推荐(长期更新)

服务器推荐将各个地区的服务器汇总,每个地区的服务器有各自的优缺点,根据自己的情况去选择,同一机房不同商家的服务器没啥区别,但不同的商家卖的价格不一样,我做推荐就是为了找到价格和...

亚云:雅安100G高防服务器99元

亚云雅安高防服务器最低配99元一个月,配置是4核4G20兆带宽,100G防御封UDP,可以提交工单让客服操作封海外流量和攻击,用来做防御基本够用,从截图可以看到亚云提供了测试I...

网站服务器性能优化(宝塔面板)

宝塔面板的安装请直接登录宝塔官网查看,因为有一键安装的教程,过于简单不多解释,需要注意的是,一定要在纯净的系统下安装宝塔面板,否则可能会出现一些莫名其妙的错误,排查错误花的时间...

阿沐云:美国Cera线路200G高防服务器36元

阿沐云美国Cera线路200G高防服务器,机房封UDP,200G防御秒解,如果是HTTP网站可开启机房防火墙的CC防御,最低36元一个月配置是1核1G10兆带宽,限制200G流...