«

»

Jul 08 2023

又遭大规模 DDoS 攻击 2023 第一版

我的内心毫无波澜,甚是去厕所拉了一泡屎。

基本上就是 2020 年那次 DDoS 攻击的翻版


发现

也就是昨天访问自己的博客时报了个 502 网关错误,我现在是对自己的 DAMP 项目相当有自信的,毕竟已经在大负载的商业项目上用过了,非常健壮。

妥妥的又被网络攻击了,想都不用想。

登上服务器:妥妥的两个 CPU 负载 100%,全部都被 php-fpm 站满了。

b85m-win381-snap

(截图里的 docker 请忽略,留证据导出日志,结果还打错命令了233)

登录 Cloudflare

b85m-win382-snap

大概也就是下午 8 点多开始的攻击。


检查

先开启 Under Attack Mode,果不其然,和以前一样根本挡不住。

到后来抓了一下包。源全部都是 Cloudflare 的流量。

这不废话么,我 iptables 已经把所有非 Cloudflare 的流量都 DROP 了,外部现在就算是范围型 1-65535 也是什么都扫不到的,完全伪装成未开机的状态。

看一下 docker 日志,啥问题没有。(你说我看这玩意干啥,都已经确定是 DDoS 攻击了)

看 apache 日志。(早干啥去了)

其他二级域名都没受攻击,所有攻击都是针对我的博客来的。

screenshot_on_b85m_by_flameshot_at_2023-07-08_20-43-56

基本还是跟以前一样,源都是真实的IP,请求都是有效的 HTTPS 请求,资源消耗型攻击。

标准的僵尸网络攻击


处理

随便写了个防火墙规则,重启下 DAMP 服务,我就去拉屎去了。

回来一看。

b85m-win386-snap

一泼屎的功夫阻断一万次网络攻击。


吐嘈

网络安全这方面我没什么想要讲的了。智能设备和物联网设备都爆发到今天了,基本上没人关心安全问题,每一台手机都可以成为肉鸡,甚至每一个智能手表,甚至每一块智能电表,都可以成为肉鸡。

b85m-DJXguWkVwAENG-I

根本不用讲什么系统漏洞,光是用户主动安装的APP里面存在多少黑产后门就完全够打世界大战的了。

我某天晚上就觉得路由器有异常流量,打开路由器一看,是我妈的手机在向一个天津联通的地址不停的收发端口为8000的UDP包,IP的rDNS不可查。内容也都是密文的。

screenshot_on_b85m_by_flameshot_at_2023-07-08_21-09-26

screenshot_on_b85m_by_flameshot_at_2023-07-08_21-14-01

screenshot_on_b85m_by_flameshot_at_2023-07-08_21-11-54

问题是我妈在睡觉啊,这大半夜的为什么手机会收发包?

也管不了。

然后这个数据包同时还有大量的 QUIC 数据包,目的指向是,腾讯会议?

screenshot_on_b85m_by_flameshot_at_2023-07-08_21-15-26

烦,不想管。


白天

表姐从上海带娃回家玩。本地虽然是黑龙江,白天热起来比广州还猛,然后大部分家庭没空调,晚上室内会有比白天还热的幻觉,多少人热得日落后跑到外边喂蚊子。

这都回来第三天了才通知我们,基本上就是想让家里人去做饭。

娃娃小学五年级,餐桌上一边吃饭一边听短视频。

他姥姥在那竟吹起娃娃的梦想:说是长大了要当黑客,要入侵白宫,入侵五角大楼。

Nah!我对别人的不论是幻想还是认知都漠不关心。


晚上

昨天我把键盘扔洗衣机水洗的视频发都网上,竟只收到了2条咒骂评论,有点不符合我的预期。那些键盘侠这时候都跑哪去了。

感觉过几天还得洗,这大夏天的手也油乎乎,键盘也油乎乎。

……

喔对,我都把网站被攻击的事情给忘了!

你说我为什么又遭网络攻击?本身现在博客里写的一堆东西就已经得罪了相当多的利益团体了,我还关心这个有屁用。

你知道吗?我手里甚至还做过一个以前公司的项目用的系统性能邮件报警系统,可以在CPU/内存/硬盘出现异常情况下直接发邮件告警,我都懒得装到自己的主机上,太过小题大做了。

打开 Cloudflare 看看统计数据,差不多刚好开启规则 23 小时。

已阻断:一百四十二万次 网络攻击。(截图被我误删了)

(Evil_seagull_laugh.gif)

5 comments

Skip to comment form

  1. 大致
    Microsoft Edge 114.0.1823.67 Microsoft Edge 114.0.1823.67 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Edg/114.0.1823.67

    真实。被攻击了还要管一管,攻击别人那就只是被利用了。
    你究竟写了句啥?

    1. 石樱灯笼
      Firefox 115.0 Firefox 115.0 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

      不是写了“句”啥,是写了“一堆”啥。这年头除了写脑残文之外,写什么能不得罪人?
      等我再写一篇的。

  2. 老狼
    Microsoft Edge 114.0.1823.82 Microsoft Edge 114.0.1823.82 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36 Edg/114.0.1823.82

    数据包收发记录,是从路由器上截图的?是要查一下家里的网络情况,被当肉鸡都不知道的那种

    1. 石樱灯笼
      Firefox 115.0 Firefox 115.0 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

      专门买的Linksys的路由器刷OpenWRT用,基本上就是个带一堆网口的arm版linux系统。
      数据包实时流有图形化界面。大半夜光猫/路由器灯狂闪得比BT下载还疯,一看就知道是异常流量,登上路由器直接用tcpdump抓,下到本地再用Wireshark看就行了。

      被当肉鸡现在基本防不胜防,电子设备开始装操作系统化之后,基本上就连产品官方都会偷偷使用用户设备刷流量,百度地图都偷偷下相声呢,还有各种魔改系统和魔改软件偷偷刷广告,还有XcodeGhost这种高端局,更别说多少个掉钱眼里的人“走路赚钱”“看视频赚钱”“看小说赚钱”,那手机上明的暗的APP装得一片一片的,O泡果奶都拦不住。
      以前黑产都得藏着掖着,现在黑产东西往那一放,人跟疯了似的拼命中招,何种的魔力。

    2. 不亦乐乎
      Google Chrome 115.0.0.0 Google Chrome 115.0.0.0 Android 10 Android 10
      Mozilla/5.0 (Linux; Android 10; K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Mobile Safari/537.36

      看了他这篇我也有这个想法,最近感觉家里wifi也不正常,不知道是天热的还是什么。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据