網站部署在騰訊雲服務器一次被CC攻擊的防禦經歷
2019年8月24日下午,某論壇一臺騰訊雲服務器開始出現異常的高負載情況。首先是自動觸發了 自動擴容機制,增加了新服務器進來分擔壓力,保障了服務的持續可用,給問題解決爭取了時間窗口。
null
隨後手機收到告警短信,登錄騰訊雲控制檯,首先排除了DDOS,因爲外網入帶寬和出帶寬都正常。異常的是內網出帶寬和入帶寬。難道有內網的服務器發起攻擊?
登錄到服務器上來看,top沒有看出什麼異常,沒有特別高的進程,php-fpm進程確實多了一些,每個進程的cpu時間也確實長了一些,但是也不說明什麼問題。看access_log也沒有看到ip聚集的請求。
q3046308710 V 17373102682
懷疑服務器本身有異常,把服務器重啓了一下,問題沒解決。
CPU佔用100%
把出現問題的服務器(server4)從負載均衡中踢出,問題立刻消失。加回到負載均衡集羣中,問題沒有再出現了。
服務器CPU100%
隨後發現,另一臺原來沒有問題的服務器(server1)現在變成高負載了。一樣從負載均衡中踢出來再加回去,這下兩臺都高負載了。
沒有什麼頭緒,只好繼續分析access_log。這次看出來問題了。
null
有一批來自世界各地的肉雞(也可能是僞造的ip)在根據用戶ID一個一個的訪問用戶資料。這些ip都來自哪裏的呢?
null
所以問題很清晰了,這是一個CC攻擊,並且攻擊ip是分散的,不能通過封ip來化解。攻擊者藉助代理服務器生成指向受害主機的合法請求,實現DDOS和僞裝就叫:CC(ChallengeCollapsar)。