小哲博客
当前位置:小哲博客 > 原创工具 > 正文

网站游击防御方案

网站游击防御方案需要监控、高速线路、兜底线路三样服务支撑,防御逻辑是没有攻击的时候我们就用速度快的高速路线,敌人打的时候我们就用防御高的兜底路线,高速线路和兜底线路都是CDN,不用动你源服务器,接入也很简单,把你域名、源站IP和SSL证书发给我就行,只要网站内容合规,未BA的网站也可以接入

小哲高防CDN

再强调一下,前面说的监控、高速线路、兜底线路三样服务都不可少,但并不是必须从我这里买,监控得从我这里买,高速线路和兜底线路你可以自己准备,也可以从我这里买,高速线路可以是随便的一台服务器做反向代理,兜底线路推荐用cloudflare,我这边价格是:

游击监控(20元,必选)

兜底线路(我的兜底线路是30元每月,也可以用CF免费线路)

高速线路(我的高速线路最低50元最高249元,下面有详细价格,也可以用你自己的线路)

总价:最低20元/月,最高299元/月

为什么要有兜底线路?纯DDOS其实挺好防的,但某团队CC不好防,请求443或80端口峰值将近20G带宽,15W的QPS,模拟超大量真实用户访问把带宽完全占满,这种大规模CC目前国内线路没有一个能防住(我测试的均是官方的标准套餐,定制服务太贵没测试),所以要切换到兜底线路防。

我之前做免费CDN防御一年多了,这一年多以来花了几万块钱,测试过几乎所有能找到的高防CDN,该团队全力CC的话,只有海外线路能防住,不过前前后后有50多个站点接入,只有5、6个站遇到过这个量的攻击。

如果你有钱,直接上阿里云的高防,阿里云是硬抗,我这种游击防御是低成本防御,肯定不像阿里云那么稳定,切换解析的时候,部分地区可能存在DNS缓存,肯定会影响一些的,不过你可以问问用过的其他站长是什么情况,网站防御贵,因为敌人每天打1个小时就得24小时防着,防御成本很高,网站游击防御策略是为了解决成本高的问题,可以看看下面是阿里云400G的高防服务价格:

阿里云高防

为什么要用游击防御?如果你直接解析域名到你的服务器,暴露了IP,被人攻击就会进黑洞,被打进黑洞,服务器无法访问,网站打不开。

那怎么解决黑洞问题?套一层CDN,或者用另外一台服务器搭建反向代理,这样用户访问到的是CDN的节点或这台反向代理的服务器,攻击不会打到你的源服务器上,但问题又来了,CDN一般都是按流量付费的,或者套餐里面的流量是固定的,有人专门会针对CDN刷流量,天价的流量费风险很大,反向代理服务器被打也会进黑洞,依旧无法访问。

那怎么解决CDN被刷流量或反向代理被打的问题?套个免费的高防CDN,比如cloudflare,不仅可以防御攻击,流量还是免费的,可cloudflare是海外的节点,访问速度不稳定,不稳定不是说一直慢,是偶尔快偶尔慢,甚至有时候打不开,或者有的地区封CF的免费证书,想自定义证书就得升级套餐。

那怎么能低成本防住攻击的同时还能高速访问?我研究出来的的游击防御策略就是搞这个的,为了更容易理解,做了一个简单的示意图,在游击防御方案中需要的三个服务分别是什么角色:

小哲服务一览

游击防御监控

收费标准:20元每月

我提供监控程序,每30秒会测试一下高速路线是否异常,如若异常切换到高防路线,同理如果已经是高防路线且高速路线恢复正常,则会切回高速路线,这个需要服务器24小时不停监控,所以我买了一台服务器专门用来监控。

我提供付费的DNS解析,修改解析路线的时候60秒生效,比免费的DNS解析更快速,减少流量流失。

有朋友可能会问了,DNSPOD的监控是免费的,为啥我要用你的收费监控呢?可以看一下这张图,这是DNSPOD的监控切换逻辑(不用怀疑图的真假,可以自己去看官方的文档https://docs.dnspod.cn/d-monitor/5f2d466be8320f1a740d9f85):

DNSPOD监控切换逻辑

这里面有一个很严重的问题,就是我们大部分网站都会针对搜索引擎的蜘蛛设置单独的解析线路,然后对普通用户设置一条访问线路,这种情况即使被攻击,也不会影响搜索引擎的抓取,但如果你设置DNSPOD的自动宕机切换,注意看DNSPOD切换的最后一个情况【非默认线路是否存在可用记录】,也就是说如果你针对用户设置的默认线路被打的不能访问了,DNSPOD会直接给切到针对搜索引擎设置的那条非默认线路,暴露你源服务器IP,这也是为啥我要费劲写这么一个监控程序,又租服务器搞这个服务。

兜底线路

cloudflare是免费的CDN,我推荐大家把cloudflare作为兜底线路,有人说cloudflare会被打穿,其实那是不会设置,全球很多HS网站都在用cloudflare的防御,不用怀疑cloudflare的防御能力,别说人家用的是付费的套餐,付费的套餐主要是优化一些节点和自定义上传SSL证书等功能,免费的套餐防御效果绝对不差。

需要设置的点包括防火墙规则、缓存规则和敏感度规则,如果设置缓存太多,会导致正常用户访问异常,比如电脑访问出现了移动端的页面等,如果设置缓存太少,会导致CC回源卡死服务器,也就是很多人认为的被打穿了,其实相当于是CF的节点在打你,配置需要在速度和防御之间做一个权衡,我之前的文章也有介绍过怎么配置,如果你还防不住,我可以帮你配置,大部分网站都可以用cloudflare直接防住,单次收费30元一次

我说大部分网站可以直接防住,主要是因为有一些网站是代码自适应或者是域名自适应的网站,还有想Cname方式接入就得通过CF合作伙伴添加网站,现在CF合作伙伴不好找,官方接入CF需要修改DNS服务器接入,所以如果cloudflare免费的规则数量不够用,或者找不到CF合作伙伴,可以用我的高防兜底线路,也是海外的线路,按月收费30元一个月

高速线路

高速线路一分价钱一分货,这些机房除了OVH机房之外速度都挺快,不同的是防御和黑洞时间,比如你买一个不带防御的线路,遇到攻击马上就进黑洞了,黑洞时间是2小时,那么这两小时内就得用兜底线路,影响访问速度,如果你买的线路带100G的防御,那小于100G的攻击就不会切到兜底线路,超过100G的攻击才会进黑洞切到兜底线路,黑洞时间是1小时,1小时后就会自动切回到高速线路,无黑洞时间意味着大型攻击停止后,马上切回到高速线路,各个线路简介:

1、50元一个月:国内线路、防御20G、黑洞2小时、10兆带宽

2、80元一个月:美国Cera机房、防御20G、黑洞2小时、20兆带宽

3、100元一个月:美国OVH机房、防御500GB、无黑洞、150兆带宽(延迟有点高)

4、150元一个月:国内线路、防御120G、黑洞1小时、25兆带宽

5、249元一个月:国内线路、防御300G、无黑洞、30兆带宽、机房硬件防CC

可以几个站点合租一个高速线路,但一个站被打超过防御,其他站全部切出去,自己权衡成本和防御。

黑洞时间会随着攻击次数慢慢变长,几乎所有机房都是这个政策,如果你的站被打的特别频繁,建议用不带黑洞的线路。

科普一下,防御是指每秒的攻击量带宽,比如某团队的DDOS峰值是400G多点,相当于1秒400/8=50G的流量,有朋友看到自己几TB的流量,其实是累计的流量,400G攻击1分钟是50G*60≈3TB流量。

网站要求:

1、网站内容要求大部分原创,采集站、图片站、视频站等存在版权风险的站不接

2、网站内容不得涉及反动、黄、赌、毒,其他违法的站点都不行(已经备案的网站一般没问题)

点击查看【小哲CDN防御记录

小哲服务群

说说为啥不做免费防御了吧,小哲我做网站已经十二年多了,很多东西即使谈不上精通,也多多少少算是见识过,很多站长朋友遇到问题也会来咨询我,之前我也帮了很多站长修改代码做防御等工作,但精力是有限的,而且现在除了时间和精力,免费提供高防CDN一年多,更多的是经济上也不允许了。

接入网站数量少的时候,我用几个节点就能搞定,就算被打也是其中某几个站会无法访问一段时间,但现在越来越多的站接入,增加节点就得增加成本,如果不增加节点,被打的概率就会增加,几乎天天都会出现一段时间无法访问,我的博客换了两次域名,现在没啥流量也没收入,所以不搞免费的了,这次提供的是游击防御,希望各位能理解我不免费做防御了吧。

小哲博客首页底部有【站长会】QQ群的链接,加群找我私聊。

点击加入【站长会】QQ群

最近发现,有人申请加群,QQ上面收不到通知提示,可能QQ做了限制,请多申请两次试试。

小哲博客所有内容已通过【鲸版权】登记,未经授权禁止转载!谢谢合作
喜欢网购的朋友注意了:注册APP参与零元购活动,免费撸一单价值35元左右的商品,以后还可以领取优惠券,都是无门槛无套路的优惠券,支持所有电商平台的所有商品,不用别人分享,自己通过手机APP就能自助领取,而且分享给别人还能赚钱
点击领取优惠券