上週,安全狗SRC聯合SRC部落,攜手推出了爆款話題:
傳統抗D設備 vs 新興CDN抗D:抗D效果哪個好?
一經發布簡直好評如潮,熱評無數,四方雷動(?)
原帖在此,錯過的吃瓜表哥們可以再圍觀一下~
https://bbs.ichunqiu.com/thread-21821-1-1.html
懶癌晚期的表哥如果不想一一瀏覽,小編特別彙總了一下諸位大佬的優質回覆,
並且邀請了xiaoye大佬對下面的彙總做了一下獨具匠心(?)的技術點評。
表哥們快來圍觀一下這些技術含量多汁到滴水的精彩發言,順便提升一下對DDoS的整體認知吧!
![]()
賬號153XXX39703的大佬,從安全狗用戶的角度解讀了ddos。這位大佬最近遇到了“通過千萬臺肉雞同時對目標進行訪問造成目標帶寬瞬間跑滿宕機,直接影響公司業務“的問題,並且總結了防禦ddos的方式:
防DDOS無非以下幾種辦法:
1. 增加帶寬硬抗
2. 接入第三方高防/流量清洗
3. 下線服務,
第一種增加帶寬硬抗對於大流量的攻擊來說這種方法並不可取,原因麼一是太燒錢啦,如果服務器性能不行帶寬還沒加服務器就可以掛了。再來看第二種也是現在比較多的方法,接入第三方高防或者流量清洗系統,以國內雲廠商爲例,先說下阿里雲默認抗5G,有錢的話可以繼續加,對小打小鬧的攻擊者來說可以防了,如果是針對性的還是建議接入流量清洗,高防的價錢實在太貴不建議每個月購買,如果長期受DDOS困擾可以考慮市面上的幾家流量清洗,還是推薦大家用比較知名的廠商比如騰訊的大禹,藍訊(價格比較貴)。不是很建議小廠商的雖然價格比較便宜,但是也聽說過停止續費後惡意攻擊的事件,少一點套路多一點真誠。。。第三種方法可以對非重要業務執行,因業務而異。
如果什麼都沒接入的情況下受到了攻擊,這裏簡單的講述一下措施(以雲主機爲列)。
短信收到攻擊報警,提示流量超過防禦範圍。
收到這種短信是人看了都會一抖,特別是業務高峯的時候。雲主機廠商爲了保護自家的其他用戶超過閾值會直接切斷你的ip,此時頁面就會一片白。
緊急操作,通知相關負責人,替換新IP。
購買新的IP,然後在域名廠商處立刻替換,等待生效,查看生效一般用到以下命令,ping,dig
ping就不多說了,綁定好以後開一個終端ping着就可以了,
dig命令可以查看新的域名ip有沒有生效,碰到業務有CDN的可以看是否回源完成(一般5-15分鐘)。
這裏要講下爲何用了CDN還是被打到了源站IP,還是那句話攻擊前的踩點很重要,通過ping,站長之家等各種手段可以查看到被攻擊的站是否用了CDN甚至是哪一家CDN 。通過嘗試ping一級域名泛解析嘗試是否可以ping通,通過github上尋找是否有源站IP記錄等等,只要有配置不當的地方找到源站IP還是很簡單的,對於大流量的攻擊拒絕服務也就是秒秒鐘的事了。
總結的都是企業常見的一些防禦手段,很不錯哦~
而下一位,xiaoye大佬也小試牛刀,分享了一波經驗:
ddos是分佈式拒絕服務攻擊,單純的dos攻擊其實很容易防範,一般做的規則是對ip的頻率數據包量等進行控制,這個在waf或者iptables裏都是常見的規則,很容易防範:掃帶waf的網站是經常被“拉黑”就是對ip的頻率做出的限制;p.s:iptables絕對是異常強大的訪問控制工具,用好了事半功倍,甚至堪比硬件防火牆(這句話不是我說的。。不知道真假欸)
我們假象,如果我們有很多代理ip,然後在掃描的過程中不停切換ip,這樣是不是就繞過了頻率的限制了呢,對,就是這樣:
單純的掃描可以比作dos攻擊,而切換代理ip就可以比作ddos,“分佈式”拒絕服務攻擊,因爲他擁有多個看似正常的ip來進行看似正常的操作,然而,當許多個ip,或者說成千上萬的主機,一起對目標進行攻擊,也將會造成巨大的傷害
分佈式拒絕服務攻擊之所以難以防範,是因爲攻擊來自於大量的看似正常訪問的非正常主機,但是對於服務器而言,每一臺發包的主機都是一個合法的用戶,因爲web server就是用來給人訪問的,從這個層面上講,每一個"攻擊者"似乎都是合法的!徹底根治ddos,勢必會影響到正常訪問的用戶,而這是站長或者廠商最不願意看到的:沒有用戶pv,網站靠什麼運營?另外網上那些誤封率0的宣傳,我是不信的。。
對ddos的防範一直是塊短板,有錢的去流量清洗,沒錢有底子的自己去做反向代理加負載均衡,也能抗一波流量,waf之類的防護軟件也已經具備了基本的防護功能
ddos有很多種類,smurf 、tcp syn flood、udp flood、icmp flood等等等等,建立全面且準確的防禦規則,是waf廠商的一大任務以及機遇
現在時代不同了,cdn的出現無疑是一大福音,不容易直接獲取真實ip,多節點也可以抵禦ddos。(其實也用到了負載均衡,當然還有緩存之類,將用戶的請求定向到最合適的緩存服務器節點上去獲取內容)
防禦ddos,大廠商想要安全性可以去流量清洗,而一些小廠商,或者個人blog的站長,這個方式顯然太燒錢了,開始也不能一直被d不是;有底子的站長可以去做反向代理加負載均衡,抗一小波流量是不成問題的,cdn也是用到了負載均衡技術哦~
元霸大佬的觀點是“新興和傳統的手段,硬件設備都一樣,無非是在硬件資源,寬帶資源進行流量進口量的放大。”並且提出了方案:
有個人曾經寫過一篇《十全大補帖,抗DDoS究竟哪家強?》
但是又沒有那家來具體說明 能完全防禦DDos 攻擊
有過一篇報道是這樣說的
雲堤抗D方案什麼樣?
先講三個核心觀點>>
第一個觀點:抗D服務是一種緩解方案,而不是一種治癒方案,它可以緩解DDoS對業務的影響,而不是徹底根除DDoS攻擊,Mitigation not Clean。
第二個觀點:沒有哪一種抗D服務是包打全能的,需要根據實際情況靈活應對,必要時採取多種組合,任何宣稱完美抗D解決方案的都是耍流氓。
第三個觀點:即便所有組合方案全上,抗D服務也不可能完全實現自動化,有必要的人工干預、定製策略才能更好實現抗D效果,尤其是混合型攻擊、應用層攻擊。
是啊,抗D服務是一種緩解方案,而不是一種治癒方案。
但是
如帖子 三樓所說,現在預防dos的基本方法
1負載均衡
2多節點防火牆
3充足的帶寬
4多節點服務器
5過濾不必要的服務和端口
6合理優化系統,避免系統資源的浪費
7檢查訪問來源並做適當的限制
8限制特定的流量
也或者向一樓所說
企業應該採用如下判斷點,不要浪費大量的資源
1.判斷機制
2.控制機制
3.止損機制
4.建立新型企業級運維雲平臺,部署多節點,服務開集羣,同時關閉不必要的端口,嚴格檢測如80這些端口。避免出現阻塞情況。
5.提升帶寬,限制部分無用的服務,資源耗盡無解。儘量保存數據,準備重啓吧。。。
觀點和防禦ddos的基本方法說的都很不錯,針對企業也提出了一些方案。
yangwen表哥則是就硬件防火牆和cdn都發表了觀點:
我去年在的一家公司曾經一段時間收到過100~200G的ddos攻擊還有數不勝數次的CC攻擊!
1.硬件防火牆
服務器大家都買過吧,買的時候都會看到商家說什麼200G硬防,300G硬防。
那這個意思就明顯了,我告訴你了你買我這個機子我只能幫你扛200G300G的量,那如果攻擊者400G扔過來,你說你死不死?
防火牆防禦工作原理我分析不出來,不過大家都知道正常用戶訪問肯定是TCP/IP有三次握手包,DDOS一般是發出兩次握手包,然後服務器就在等客戶機的第三次握手,等啊等卻一直沒等來, 然後越來越多的tcpip握手包,都只有前兩次,服務器就在等越來越多的第三次握手包。雖然說防火牆本來就具備這個分辨的能力,但是還是一樣!超過你防火牆能防的量你就得死!
2.CDN
CDN就要比硬件防火牆理智的多,其優點是:
(1)用戶根本獲取不到你真實的IP
(2)以TX的爲例,一百個域名,200個節點。隨機分配。
假如200G的硬件防火牆在知道你真實IP後直接300G量打過來,你肯定要死的把。
那如果換成CDN,我兩百個節點,假如每個節點能防30G,200*30就是600G,你來打我呀!笨蛋!那CDN會死嗎?當然會!假如說你有十個節點,我全部獲取到之後全給你打死!CDN可以說是網站和用戶之間的中轉站,所以你的網站也跟隨着一起死去了!但是其代價也是相當大,得多少量才能打動數十個甚至上百個節點?
硬件防火牆 VS CDN
我感覺CDN比較好。不過呢,硬件防火牆的機子相對來說便宜一點,CDN就很貴了。
TX的CDN我之前可是領教過,100個域名,兩百個IP。當時是因爲硬件防火牆防不住了,我選擇了TX的CDN並且是流量計算模式!!!!
記得當時每天流量1T多!一個月下來大概1萬8左右!
高防硬件防火牆也是有限制的,不可能扛下無限流量;cdn更加理智,多節點可以分擔攻擊流量,而且負載均衡也有神奇的效果,當然想用高質量的cdn,money肯定是要掏的~
可以看到不少大佬也是在工作中遇到了ddos和cc攻擊(ddos在實際中發生的很頻繁啊~)
遭遇到ddos攻擊後,廠商或者站長絕不應該採取容忍的態度,要積極的去防禦,必要時候要採取法律手段。
降龍大佬也是遇到過ddos,他認爲被動的防禦不是解決辦法,並且呼籲相關部門對此採取措施。行政和法律方面我們不多談,我們目前能做的就是建立自己的防禦機制:
一些主機商遭遇ddos攻擊大多是選擇忍到攻擊停止,不僅可能會對在他們服務器上搭建的網站或者一些服務器進行的工作造成極大的影響,間接的造成經濟損失,甚至會流失大量的客源,危害極大。
之前自己也開過一些小網站,然後實在做不下去了,因爲總有一些人掌握着大量殭屍網絡資源,他們對ddos樂此不疲,並且有相關的不菲的經濟收入,目標也總是web服務開放的端口。他們對於ddos的看法就是:只要量夠大,沒有打不死的目標(ಠ .̫.̫ ಠ)
前兩天據說百度還被弄死了幾十分鐘,所以我對被動的防禦持很大的看法。
所以糾結起ddos的源頭,還是要呼籲相關部門對那些基於ddos以及殭屍網絡集羣的黑色產業鏈給予高壓態度,並且在防範方面還要做及時的網絡攻擊預警,全網流量攻防態勢,例如一些高危漏洞可能造成的殭屍網絡及時的預警並更全面更深入的評估其安全風險,其他的原因也沒有人或者相關法律可以進行限制。
我們可以做的有,對一些攻擊者試探性的攻擊做出及時的反應,其他防範方法 一般是禁ip,禁網段,做均衡負載服務,優化資源使用提高 web server 的負載能力,及時修復可能存在的安全漏洞,及時更新相關服務,使用硬件防火牆,增大網絡帶寬,砸錢。或者使用使用其他網絡公司提供的高性能的基礎物理網絡服務(昂貴)等等。
但還是引用某某大D闊的一句話:只要量夠大,沒有打不死…
我們只有盡力去與ddos做鬥爭,儘量減少或者避免相關的損失,防患於未然
wuli zusheng表哥也發表了精闢觀點:
常規硬件防火牆一般來說對於抗DDOS的作用不是太大,因爲常規防火牆主要是依靠控制通過防火牆的IP地址和端口進行防護的。而DDOS往往是大量IP同時併發進攻防火牆。如果攻擊者選擇80端口作爲攻擊端口的話,由於網站自身服務必須要防火牆放行80端口,因此對此攻擊方式是沒有太好辦法。另外DDOS攻擊的方式有兩種,一種是大量的數據包阻塞網絡帶寬,這個需要使用負載均衡設備進行分流與流量清洗;另一種是大量的半開連接請求耗盡服務器資源池,這個就需要加大服務器硬件配置,縮短連接超時時間,建立服務器分佈式集羣等方式來進行對抗了。CDN有流量清洗就不用自己。
抄心了,反正給錢就是了。
簡單粗暴的解決方式:砸錢。。哈哈,當然表哥也提到了個人可以做的一些防禦措施,如負載均衡、建立集羣等等
屌絲紳士表哥更是接連兩次發表了觀點:
回覆1:
個人認爲還算過得去的硬件防火牆沒幾個,不細說 方法嘛 就這些
1負載均衡
2多節點防火牆
3充足的帶寬
4多節點服務器
5過濾不必要的服務和端口
6合理優化系統,避免系統資源的浪費
7檢查訪問來源並做適當的限制
8限制特定的流量
回覆2:
太詳細的懶得寫,不過 個人認爲抗D 大同小異,如果換個想法,按照老總的想法老說呢,,當然是那個便宜 那個牛逼用那個,,翻譯過來就是,空手套白狼的思想,然後我就呵呵了,
一方面 企業的發展和業務的擴張一定會越來越龐大,在原有的基礎上不想增加設備,但又不想揹負漏洞,顯然這是不可能的,借用我大大的說法就是 卡節點,層層防禦的辦法,既然硬件需要錢,那我就用寫死的軟件去彌補,
另一方面,換個思路,學學迅雷的下載寶,把一些路由器或者常用的終端中存放一些常規數據,這些設備在平常訪問的時候,出站本地對素材進行效驗,然後上傳節點,轉發到客戶端,這個思想比較類似分佈式運算
第二個內容針對企業防禦ddos提供了很好的思路:“分佈式”,分佈式的dos攻擊,用分佈式的思想去防禦(cdn的多節點和這個有點類似)
賣假藥的大橙子表哥觀點如下:
A10 Network*(666).目前爲止沒有比較厲害的辦法。無論是傳統還是新型技術。都處於相對比較被動的位置。技術永遠受限於攻擊方。上海雲盾出的太極。目前沒有很完全的數據公佈。不清楚新一代的對抗情況。對抗死循環在於,D法本身是佔用用戶的正常區域資源所導致的技術方向,企業和用戶也無法放棄這一塊的資源利用。問題就在
1.判斷機制
2.控制機制
3.止損機制
目前新興和傳統進度都一樣。因爲一般對抗的關鍵點都在於不可規避的點,也就沒有更好的辦法。縮短連接延時時間,建立新型運維機制,改善服務器的配置,同時需要嚴格控制損失情況,控制清洗流量監測流量。
1.建立新型企業級運維雲平臺,部署多節點,服務開集羣,同時關閉不必要的端口,嚴格檢測如80這些端口。避免出現阻塞情況。
2.提升帶寬,限制部分無用的服務,資源耗盡無解。儘量保存數據,準備重啓吧。。。
3.找個大牛多一點的防火牆合作伙伴吧,或者對自己的運維人員好一點吧。。這樣還能事後多挽回一些損失。
4.新興和傳統感覺區別不大,都處於被動狀態,也沒有更好的解決辦法。
傳統和新型技術目前還都是較爲被動的狀態,這是實話,所以目前的機制依舊不是很完善:只要肉雞多流量夠多,理論上可以打死任何站。。
fs冷逸表哥從主動防禦的角度出發談了自己的看法:
分佈式拒絕服務(Distributed Denial of service)簡稱DDOS,很多DOS攻擊源一起攻擊某臺服務器就組成了DDOS攻擊,攻擊指藉助於客戶/服務器技術,將多個計算機聯合起來作爲攻擊平臺,對一個或多個目標發動DoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在Internet上的許多計算機上,代理程序收到指令時就發動攻擊。
如今任然沒有什麼可以阻擋DDOS的工具,各種穿盾,過牆工具層出不窮,網站服務器安全仍然爲一大問題僅僅依靠某種系統或產品防住
DDOS 是不現實的, 可以肯定的是, 完全杜絕 DDOS是不可能的,但通過適當的措施抵禦 90%的 DDOS 攻擊是可以做到的,基於攻擊和防禦都有成本開銷的緣故,若通過適當的辦法增強了抵禦 DDOS 的能力,也就意味着加大了攻擊者的攻擊成本,那麼絕大多數攻擊者將無法繼續下去而放棄,也就相當於成功的抵禦了DDOS 攻擊。
雖然無法徹底防禦ddos,但是站長/廠商的主動防禦將大大提升攻擊的成本,對ddos也將起到一定的作用。
zooujun如是說:
看到有活動,非常高興可以參加。個人的小白一枚,技術很菜。但是看到這個話題,結合自己的經驗,簡單的說一說。傳統抗D設備 vs 新興CDN抗D:抗D效果哪個好?
首先對比一下,傳統的抗D設備,比較有名氣的就是綠盟的黑洞,聽名字感覺可以吞噬一切ddos,但是貌似cc就是針對它來的,誰叫你樹大招風呢。各個傳統安全廠商,一般都有抗D的設備,或者是在utm、下一代防火牆的功能裏面,但是效果就不一了。由於硬件設備的硬件架構和接口帶寬有限,用戶很少去購買。很多用戶覺得,自己的單位沒有必要上抗D的硬件,這個確實是這樣的,如果真的有黑客要ddos你,那一般的設備也抗不住的。
相比新興的抗D廠家,大家都是通過無數的設備堆疊出來的,無數的節點鏈接在一起,抗D效果可見一斑。但是每個新興的抗D廠家的投入、技術能力的不同,抗D效果肯定也不一樣,他們的收費當然也不同。
可能有些用戶試用了新興抗D的產品,但是還是被打癱了。自然對新興抗D沒有信心。事實上,新興的抗D廠家還是很有能力的,比如阿里的阿里盾,知道創宇的創宇盾,webray的玄武盾,都是非常好的。每個廠家的抗D效果,要看客戶肯投入的成本以及黑客攻擊的手段。
我相信,未來大中型企業,以及小型企業都會上線新興抗D產品的,因爲價格優惠,效果明顯。
也希望黑產能快點消失,讓廣大網友和企業,不受損失。
表哥分析了新興的抗d設備和手段,他認爲抗d廠家將會越來越多、越來越專業。
細心大佬有兩次回覆,因爲太長啦,摘選其中精華的一段,完整版可以詳見原帖:
回到正題:至於DDOS 我們應該從實際出發,針對我們的客戶做成比較合理的方案,方案是什麼?我的理解就是money,因爲根據實際環境我們要去判斷我們or那些人針對我們的客戶(或者客戶其他)我們還要判斷客戶的money他可以做多大的安全防護,或者他對於假如遭到DDOS的損失,or以及遭到DDOS攻擊時候,我們要有想要的預案,或者說告訴客戶如何去處理。快速的解決。保證我們正常的業務範圍不受到不法侵害。
基於解決方案:我的理解是要創新,要有核心思想。核心技術。
因爲互聯網,每一秒都在變,這一秒和下一秒,都是未知的。。。。。。。
就如vulnerable 總是那麼的層出不窮,Windows不是還說出過一個最安全的系統嗎?結果那。。。我不懂。
基於DDOS或者互聯網安全;我們只能說在“攻與防中對立”在攻防轉換中,可以快速響應,拿出解決方案,在進步中“矗立不倒”
最後說個大家都知道的寓言故事:矛與盾!哈哈哈
誰好,大家好,纔是真的好。
以及:
在合理的money下給出最優的解決方案保證我們客戶的利益,是最好的結果,也是我們品牌價值最高的體現!
我的方案是:人工智能+雲大數據+規則+過濾防禦等級(響應等級)+調查取證+反擊(因爲防禦只是被動的捱打)
最後的方案給的很好,必要時候我們的確需要取證,藉助法律的力量來進行反擊,維護自己的合法權益。
infosafe表哥總結了很多實用的抗d措施:
國內各種盾不少,抗ddos能力也是相差不大,隨拉幾條
1.國產防火牆大多是UNIX\LINUX+iptable等包過濾型防火牆修改爲主,因爲上升到應用層,抗ddos能力較弱.
2.抗d功能要下放到網絡層,即network框架內實現,通過hook掛入抗擊模塊.
3.利用syncookie+sysproxy實現基本的抗擊.
4.找到關鍵的時間間隔值,多1ms則多,少1ms則少,可實現握手協議的有效識別,偏門。
5、對proxy的攻擊,除了標記識別外,還有約1/4來無法有效過濾,這也是爲什麼cc現在還有效果的原因。
6、應用層的防護,還是指紋鑑別爲主,但是要消耗cpu。
7、綠x確實在架構上可圈可點,但其流量牽引的機制存在bug,可以突破造成調度設備異常。
8、抗擊的思路還是鑑別+大量清洗。
9、香港的機房能實現簡單的溯源,不簡單。
10、國內運營商大多開啓僞造路由識別,從idc機房發起的見少了。但是又在搞提速,肉雞的能力越來越強了。
抗擊趨勢,識別(行爲+指紋)+CDN清洗,老式清洗平臺會逐漸退出舞臺。
除了抗d措施,表哥也提到了以後抗d的趨勢:識別+cdn清洗(其實,識別是更難實現的,誤判、漏判都將造成一定的後果)。
mycookie表哥再次提到了cdn:
安全狗很好。
都是說的從外到內抗,然額 現在的劇情是 很多企業都遭受從內部ddos 的劇情
內網被滲透感染,從內網dos攻擊內網的出口設備等,比如 帶寬管理設備等,比較容易弄癱整個網絡出口。
從外到內dos ,對於依賴出口的企業該上的就得上
第一關 硬件負載均衡f5或者redware
第二關先硬件防火牆
第三關 抗ddos設備
第四關 ips
第五關 waf
第6關 服務器 軟負載均衡
另外需要買第三方的 流量清洗服務,應爲你再牛逼,帶寬也是有限的,大量的流量還是靠idc 這樣的機構去解決。
cdn 是不可缺少的。
當然以上 都是錢堆出來的,看網絡規模 。
有興趣的小夥伴可以去深入瞭解一下cdn的思想,非常有意思~
1012699799大佬提出了很不錯的觀點:
DOS和DDOS是什麼?不想說,你們自己知道就好,不知道問百度去
DDOS攻擊模式不外乎發送請求包,TCP三次握手,就跟你握手兩次後。。。。。你等着我,我一定會回來的。
說明了你知道這是DOS攻擊,不告訴你這是攻擊,那麼服務器怎麼甄別?同一IP多次玩這套?不同IP也玩這一套?iptables限制連接數?封IP?封區域?不不,我跟你講,你要這麼玩,你會被踢的你知道不?pv沒了?校園網你知道怎麼回事嗎?人多網絡還不穩定。。。用網高峯三次握手,能跟你握一次那就老牛逼了。
我以前幹小網管工作中碰上過DOS攻擊,當時很興奮,我***這麼多訪問,要發啊,幹兩年老闆賞識我,我慢慢的會當上CEO贏取白富美,走上人生巔峯。。。
當時又搭建負載均衡,買帶寬,流量不是很大,經過一番折騰挺住了,然而我的人生巔峯並沒有到來,我被人玩了,心情很失落,才知道碰見DOS攻擊了。過了一週到彙報的時候,老闆不懂網絡,一聽被人攻擊,立馬開大會找解決辦法。花高薪請來一大神,聽說薪資很高能在北京買房子的那種,以前是做物理防火牆的。來了以後開始大肆整改,通宵達旦寫規則,很屌。應用後我們的日常PV從幾十萬瞬間降低到了幾千上萬。。。。。從來沒有被攻破過,很穩定。實習期過了,我就走了,現在想想也挺惋惜的,當時要是找的明白人,現在全國最大的二手車交易網站就不是現在這家了。
跑題了,回到正題,那麼抗D設備哪家強?
大禹治水知道不?黃河決堤知道不?
堵不如疏
堵不如疏,這位大佬應該是認爲被動防禦,不如主動疏導,將流量分流降低壓力,很不錯的思想~
總結:
防禦ddos,需要整個行業的支持,這項事業既不可能一蹴而就,也不可能單獨一家企業或者個人力挽狂瀾。
防禦ddos的路還有很遠,但是路雖遠,行必達,願熱愛it行業的每個人、每家企業都能爲ddos防禦體系的建設貢獻一份力量!
再次感謝友情支持的xiaoye大佬~
歡迎大家在下方留言![]()
|
