之前一直用博客,然鹅现在用RSS的伙伴越来越少了,公众号这种主动推送机制对读者和作者都很好用,所以欢迎大家关注我的微信公众号:IT漫步。主要分享自己折腾的各类技术和一些观点。扫码关注:

公众号二维码


网站改版后的第二天,我的一台位于东京的服务器就惨遭ddos。
Vultr给我发邮件停了24小时,为了保障客户利益,我马上又新建了一台服务器,现在正在安装网站环境。
像我这样的如此小的服务器都会被攻击,可见现在攻击发起成本之低、范围之广。痛定思痛,那么如何防御?

一、使用分布式DNS、使用CDN

如果网站受众都在国内,可以考虑这些免费分布式DNS:

  • 阿里云解析:有搜索引擎、各国线路,不限总条数,支持到10级域名,TTL最小支持1,90条A记录负载均衡。具体见官网。个人感觉阿里云解析给的免费版如此够用以至于他自己的收费dns解析服务完全不必要了Orz。
  • DNSPOD:被腾讯收购前一直在用。腾讯收购后搜索引擎线路不免费了,并且NS负载均衡限制在4个DNS服务器。收购后正好阿里云解析免费了,所以我把域名的解析都换到阿里了。
  • CloudXNS:快网旗下。这几年兴起的云解析服务商,线路分的特别细,不过实测国外解析速度不够理想。毕竟主要用户是中国用户所以服务器主要在国内吧。
  • 付费dns:不在考虑范围内。

可以考虑下面这些便宜乃至免费的CDN,这些大都不仅有CDN加速功能,还会带一堆防御WAF、DDoS、CC的“花哨”功能,而且往往还顺便提供了dns。

纯CDN:

  • VeryCloud:送50G/月。0.32/GB。支持https,微晨风景就正在用。
  • 加速乐:0.32/G。改名创宇加速乐。服务应该还行。
  • 腾讯CDN:送50G/月。0.34/GB.可惜现在还不支持https。域名需托管至腾讯。
  • 阿里CDN:0.36/GB.支持https,注意cdn边缘节点用的SNI所以不支持XP。域名需托管至阿里。
  • 百度CDN:0.36/GB。支持https,注意根据 爱拼吧博主 的测试,尚不稳定。域名需托管至百度云。

其他云防御+云解析+云加速:

  • 百度云加速:支持https。没备案的话港台日本韩国新加坡服务器的朋友们就别开加速了,因为加速节点大都在美国。之前测试的时候cdn效果不好稳定性也不好,所以就没继续用。
  • 360网站卫士:支持https。因为它本身的网站修改、添加、查看解析很缓慢,并且现在需要传身份证实名才行,所以就不用了。
  • 安全宝:从前它是不支持https的。我本想测试,添加域名的时候感觉界面做的有点丑,直接放弃了。
  • 牛盾:快网旗下。不支持https。配合CloudXNS用挺好。

国外CDN技术棒,支持全,服务好。就一个缺点,他们的节点都或多或少被(不可描述)了。如果读者在国外,那么推荐:

  • Incapsula:可以CNAME加速。可自选日本节点,很不错。不过每个IP都被或多或少的(不可描述)了。
  • CloudFlare:应该是最大的CDN提供商。貌似只支持DNS方式加速。国外节点都被(不可描述)了,好消息是目前在开通国内节点。我大胆的预言,此举应该可以改变国内cdn市场。
  • Amazon:亚马逊的技术积累没的说。不过和S3一样被(不可描述)。
  • CDN.net:看域名就行了,不多说。。

不过看到CloudFlare官网推出了中国节点,我打算把所有的域名都换到CloudFlare上了:P

我们自己的服务器往往不会有高防,而且都是1M/2M的小水管,所以一点攻击马上就跪了。而用上这些DNS和CDN以后,别人就无法获取到你的真实服务器ip,也就没法直接对服务器攻击了。如果攻击上面那些提供商,他们的的dns和cdn都有防护,一般的攻击也都能应付。

二、注意网站内容

我始终认为,人有多大的脾气就得有多大的本事。如果常发表一些“易受攻击”的言论,就要做好常被攻击的准备。

总之,害人之心不可有,防人之心不可无,做好自身的防护还是非常重要的。