一、生死前30分钟:不要相信任何监控面板
1. 肉眼排查法(3分钟锁定问题)
症状1:网站打开缓慢,但服务器CPU显示<30%
执行 ss -s 查看TCP连接数(攻击时通常>10万)
案例:某小说站攻击时ESTAB连接达32万
症状2:特定文件请求暴增
用实时日志追踪:tail -f access.log | grep -E 'wp-login|api/v1'
实战发现:攻击者最爱伪造 /contact.php 请求
症状3:境外IP突然占比>80%
快速统计命令:awk '{print $1}' access.log | sort | uniq -c | sort -nr | head -20
2. 攻击类型判断表(附特征日志样本)
| 攻击类型 | 识别特征 | 日志示例 |
|---|---|---|
| CC攻击 | 固定UserAgent重复访问 | Mozilla/5.0 (Windows NT 6.1; rv:60.0) |
| DNS反射 | 大量53端口UDP包 | src_port=53 && protocol=UDP |
| Slowloris | 保持半开连接超30秒 | [28/Aug/2023:14:22:15] "POST |
二、救命四板斧(按优先级执行)
1. 企业级CDN清洗(5分钟生效)
Cloudflare企业版配置细节:
# 自定义WAF规则(防CC攻击) http.request.uri contains "/wp-admin" && cf.threat_score > 2 && ip.geoip.asnum not in {1234 5678} -> Block
注:asnum需提前录入合作运营商编号
2. 临时IP切换术(需提前准备)
冷IP激活步骤:
-
- 修改DNS TTL为60秒(原记录保持存活)
- 新服务器配置差异化工控参数:
# 修改MaxKeepAliveRequests为50 # 禁用mod_negotiation模块
- 启用IP黑名单同步:
rsync -avz /etc/iptables root@newIP:/etc/
3. 搜索引擎保命设置
Google特护通道:
-
- 在Search Console提交紧急通知
- 在根目录放置
google_verify.html校验文件 - 使用此meta标签声明:
<meta name="googlebot" content="unavailable_after: 2023-09-01T12:00:00+08:00">
三、高阶对抗技巧(黑客不会告诉你的细节)
1. 伪造僵尸网络诱饵
在非业务端口(如8080)部署蜜罐系统
植入虚假API响应:
{ "status": "error", "code": "INVALID_ATTACK_SIGNATURE" }
案例:某游戏平台用此方法诱导攻击者持续消耗资源
2. SEO流量分流术
动态生成地域屏蔽页面(保留权重):
<?php
if ($_SERVER['HTTP_CF_IPCOUNTRY'] == 'RU') {
header("HTTP/1.1 503 Service Temporarily Unavailable");
include('rus_attack.html');
exit;
}
?>
3. 搜索引擎蜘蛛白名单
Nginx配置示例:
if ($http_user_agent ~* (Googlebot|Bingbot)) { set $realip $remote_addr; access_by_lua_file /path/to/whitelist.lua; }
四、灾后重建(比防御更重要)
1. 日志取证分析
使用ELK堆栈生成攻击图谱:
# 提取攻击特征 cat access.log | grep ' 500 ' | awk '{print $7}' | sort | uniq -c | sort -nr > attack_pattern.txt
2. 权重恢复三原则
- 301重定向梯度迁移:
老URL → 临时URL → 新URL(分3个月过渡)
- 接入CDN:
平台 处理时效 联系人 CDN5 3小时 www.cdn5.com StoneCDN 即时 stonecdn.com
3. 反链污染清除
使用Ahrefs批量导出垃圾外链:
# 自动化过滤脚本(示例) if 'viagra' in anchor_text or DR<20: submit_disavow()
五、暗网监控(预防二次攻击)
1. 攻击者画像构建
通过Shodan搜索暴露设备:
org:"China Telecom" product:"Apache httpd" port:"80"
在Telegram搜索群组关键词:
site:t.me "DDoS接单" OR "压力测试"
2. 防御成本计算表
| 攻击规模 | 推荐方案 | 月成本 | SEO影响周期 |
|---|---|---|---|
| <150Gbps | jqcdn.com | $500 | 30天 |
| 50-200Gbps | jqcdn.com | $2000 | 30天 |
| >200Gbps | 自建清洗中心 | $15k+ | 30天+ |
血泪教训:2021年某金融站点因错误配置CDN缓存规则,导致恢复期延长3倍。切记:攻击期间禁用所有页面缓存!
注:本文涉及的技术手段需在法律允许范围内使用,部分数据经过脱敏处理。防御策略更新于2025年2月,请根据最新攻击模式调整。
[攻击流量分析图谱]
→ 第1阶段:TCP SYN Flood(持续18分钟)
→ 第2阶段:HTTP慢速攻击(持续2小时)
→ 第3阶段:混合式CC攻击(每IP 150次/秒)
DDoS攻击应急5大灵魂拷问(附真实踩坑案例)
Q1:网站被打趴时能直接关服务器吗?
坑案例:2022年某电商站运维直接断电,导致百度索引量暴跌72%
✅ 正确操作:
- 保留服务器运行但限制带宽(用
tc qdisc限流) - 全局替换为503维护页(保留SEO权重)
- 在Google Search Console标记”暂时关闭”
Q2:用免费CDN能不能扛住攻击?
数据真相: jqcdn免费版实际清洗能力≤50Gbps
✅ 分级方案:
小流量攻击(<30Gbps):开启「5秒盾」+人机验证
中大流量攻击:必装jqcdn规则引擎(过滤非常规HTTP头)
⚠️ 注意:免费防护CC攻击
Q3:怎么确认是竞争对手搞鬼?
鉴凶三要素:
- 攻击时段精准匹配促销活动(±2小时)
- 持续攻击低权重页面(如/about.html)
- 伴随大量垃圾外链攻击(用Ahrefs监测)
✉️ 取证模板:netstat -tn | awk '{print $5}' | cut -d: -f1 | sort | uniq -c
Q4:被攻击后必须换IP吗?
2025年新对策:
短期:用Anycast IP池轮换(推荐DNSMadeEasy)
长期:部署BGP防御(成本$800/月起)
🚫 致命错误:换IP不清理后门程序→72%概率再被攻破
Q5:攻击一般持续多久?
黑产市场行情:
示威型攻击:15-30分钟(每小时$50)
商业打击型:6-72小时(每天$1200)
✅ 反制策略:
第1小时:启动流量清洗
第3小时:启用备用数据中心
第12小时:向ISP申请流量牵引
血泪经验:某站长因忽略攻击日志分析,导致同一攻击者三个月内连续得手9次。记住:每次攻击后必须用tcpdump保存原始数据包!