这是一个创建于 4627 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT,这是一个技术分享主题。分享了 **即将到来** 的海盗VPN的教程,并且是海盗CDN的公告。还有我对防止DDoS的一些心得。很符合V2EX技术社区的定位。谁“删帖”谁傻逼。
基于这么长时间的折腾我对防范DoS也有了一些心得,本来打算过一段时间发一个图文教程,但是因为一个原因(下面说)我就现在简单说说吧,有不明白的邮件问我。
防DoS (CC):
大部分DDoS其实都是来源于一个IP,或者一个内网。所以其实是DoS。然后大部分DoS都是CC攻击。
CC攻击有2个目标:
1. 服务器超载
这个主要是让你的web服务器超载,不能正常响应。但在一些没有很好配置的vps上,由于web服务器吃光了内存导致整个服务器不可用。
抵抗方案(仅对常见的中小型攻击有效):
1) 配置web服务器的最大child个数,保证不会吃光内存导致thrash
2) 在服务器层面部署防范措施,比如mod_security,以及可以在程序逻辑中恰当地返回403
3) 在系统层面可以写一个脚本定期观察,比如 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n ,之后用fail2ban还是iptables还是什么办法自行想象。
2. 带宽超载
这个没法根治。
一个偏方是配合服务器模块(mod_invasive或者nginx的limit_req)和fail2ban在出现403多次后用iptables Drop掉该IP或网段所有访问包。
这样在有的IDC处即使有很大的带宽(30m左右)打过来都不会null route
防DoS (非CC,比如SYN Flood):
现在这种Dos其实很少了,因为这种攻击不怎么消耗带宽,而对于一个比较小流量网站收益小、容易恢复。以及现在很多地方的路由在发现不合法来源后会直接丢包。
如果说防范的话,在 sysctl.conf 里打开 SYN_COOKIE 可以抵挡中小型的General攻击。另外在fail2ban里也有这类DoS专门针对SSH等端口攻击的filter,可以打开。(不过目前真没人这么搞,就算是防范于未然吧)
然后说一些海盗VPN和CDN的时间点:
海盗VPN **下个礼拜** 会更新首页和服务器自动部署教程,之后就可以算一个相对能用的、能让大家明白是干嘛的系统了。届时大家可以根据教程了解我配置VPN的一些经验、VPN集群的搭建方法、VPN限速、限并发、限连接数、限P2P的一些方法。
之后会在twitter上发邀请码。有兴趣的同学可以关注@pirate_vpn
**下月初** 部分节点会支持L2TP,如果顺利的话也会顺带支持上Cisco/IPSec。并会在4月前支持pac。
本来我不喜欢提前报时间点的,都是先做再宣传,免得被骂期货。不过因为同样原因我不得不提前说了。
然后海盗CDN(只能做美国空间经由日本和香港节点对国内加速)在我压力测试过服务的稳定性后开始内测。需要的同学邮件我。
好现在说一下我这么仓促发布的原因:
是因为我心眼特别小。
虽然有人说V2EX的价值在大家创造的氛围,但被上帝@livid莫名其妙一通撵真忍不过去。于是我瞬间从他的粉丝变成黑了:
http://www.v2ex.com/t/60538#reply56 别看主题,我压根不想关心这些事。看下面上帝对我的回复。
所以这应该是我在V2EX的最后一个分享贴,以后可能会套马甲在二手版收点pp。
各位再见。
基于这么长时间的折腾我对防范DoS也有了一些心得,本来打算过一段时间发一个图文教程,但是因为一个原因(下面说)我就现在简单说说吧,有不明白的邮件问我。
防DoS (CC):
大部分DDoS其实都是来源于一个IP,或者一个内网。所以其实是DoS。然后大部分DoS都是CC攻击。
CC攻击有2个目标:
1. 服务器超载
这个主要是让你的web服务器超载,不能正常响应。但在一些没有很好配置的vps上,由于web服务器吃光了内存导致整个服务器不可用。
抵抗方案(仅对常见的中小型攻击有效):
1) 配置web服务器的最大child个数,保证不会吃光内存导致thrash
2) 在服务器层面部署防范措施,比如mod_security,以及可以在程序逻辑中恰当地返回403
3) 在系统层面可以写一个脚本定期观察,比如 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n ,之后用fail2ban还是iptables还是什么办法自行想象。
2. 带宽超载
这个没法根治。
一个偏方是配合服务器模块(mod_invasive或者nginx的limit_req)和fail2ban在出现403多次后用iptables Drop掉该IP或网段所有访问包。
这样在有的IDC处即使有很大的带宽(30m左右)打过来都不会null route
防DoS (非CC,比如SYN Flood):
现在这种Dos其实很少了,因为这种攻击不怎么消耗带宽,而对于一个比较小流量网站收益小、容易恢复。以及现在很多地方的路由在发现不合法来源后会直接丢包。
如果说防范的话,在 sysctl.conf 里打开 SYN_COOKIE 可以抵挡中小型的General攻击。另外在fail2ban里也有这类DoS专门针对SSH等端口攻击的filter,可以打开。(不过目前真没人这么搞,就算是防范于未然吧)
然后说一些海盗VPN和CDN的时间点:
海盗VPN **下个礼拜** 会更新首页和服务器自动部署教程,之后就可以算一个相对能用的、能让大家明白是干嘛的系统了。届时大家可以根据教程了解我配置VPN的一些经验、VPN集群的搭建方法、VPN限速、限并发、限连接数、限P2P的一些方法。
之后会在twitter上发邀请码。有兴趣的同学可以关注@pirate_vpn
**下月初** 部分节点会支持L2TP,如果顺利的话也会顺带支持上Cisco/IPSec。并会在4月前支持pac。
本来我不喜欢提前报时间点的,都是先做再宣传,免得被骂期货。不过因为同样原因我不得不提前说了。
然后海盗CDN(只能做美国空间经由日本和香港节点对国内加速)在我压力测试过服务的稳定性后开始内测。需要的同学邮件我。
好现在说一下我这么仓促发布的原因:
是因为我心眼特别小。
虽然有人说V2EX的价值在大家创造的氛围,但被上帝@livid莫名其妙一通撵真忍不过去。于是我瞬间从他的粉丝变成黑了:
http://www.v2ex.com/t/60538#reply56 别看主题,我压根不想关心这些事。看下面上帝对我的回复。
所以这应该是我在V2EX的最后一个分享贴,以后可能会套马甲在二手版收点pp。
各位再见。
 | 1 Livid MOD PRO 我最近被那些 hostloc 过来的极品搞得有点心烦,情绪不好,你别多想。 你和他们是有些不同的。 任何时候,都不要去攻击别人的网站,也不要觉得这么做是正确的。 |
 | 2 sNullp OP @Livid 关于攻击这件事,我的海盗VPN也被攻击过,这个我和你站在同一条战线上。 但是语言的威力在于几句话就能让一个人气得半死,说话至少先思考一下别人的感受吧?我很尊敬你的作品,但鉴于我现在的情绪别的我就先不说了。 |
 | 4 zxy 2013-02-17 21:45:35 +08:00 相互理解吧,我比较喜欢打字而不愿说话的原因之一是打字的过程中我在思考,值不值得发出也会在打完的时候决定好 |
 |  1 @sNullp 是一个非常好的人,别的不说,我最早知道他,是看到他从美国回来说免费给大家带东西,然后我麻烦他代购vps,他也很爽快答应。然后Free 虚拟主机,VPN什么的,这些大家都有目共睹吧,有不懂得地方,他讲解也很耐心,别的不扯,这至少说明,他是个热心、乐于助人的人。 看了@Livid 在那个帖子的回复,希望那个帖子里面的回复,真的只是一时气话,不然,对你的印象确实大打折扣了。V2EX做的越来越好,也是大家一起的贡献吧,现在对某些成员,说不欢迎,不管别人怎么想,我是不想被代表。欢不欢迎应该大家判断吧,至于删不删那就是livid作为V2EX站长自己的事了。 随意删帖子,自己不喜欢的帖子,这一点不能接受。我是比较赞同v2ex不修改帖子的,但是既然站长可以删其他人的帖子(非恶意以及违反规则),那为什么普通人不可以删除自己的帖子呢。 不能及时放web services,好好解释应该是很必要的吧,毕竟有些人就是冲这个去充的值。 其实之前说PB3开源的时候,一直没有开源,然后就杳无音信了,给的理由个人觉得有些扯,不打算开源可以直接说的,相信很多人也可以理解,毕竟主要是livid你们这些人的付出,敷衍有需求的人个人觉得不太好(我本人不做站,所以对PB3没诉求) 希望V2EX可以容纳更多不同的声音吧 无耻的借用一句话,送给V2EX:能力越大,责任越大 尽管有时候并非我们所愿 |
| 6 Livid MOD PRO |
 | 7 sivacohan PRO |
| 8 kindlepaper 2013-02-17 22:29:37 +08:00 @Livid 嗯,有时候沟通很重要的,新年快乐! |
 | 9 diib 2013-02-17 22:33:48 +08:00 支持一下楼主吧。 不过话又说回来,v2ex不是公共区域,而是其拥有者的私人地盘;所以不要期望在任何网站能得到公平,除非自己建个。 (这一点可以用在任何一个有产权的地方。) 另外ddos的应该是hostloc的debian,而不是@yuan007。 |
Select Language