今天,发生了一件乌龙事件。昨晚服务器被人通过UDP方式ddos攻击,ip太多了,看不过来。用Wireshark分析了阿里给的攻击日志(日志后缀为cap文件),ip超多。想着能不能通过禁用UDP入口和出口,来达到防止这种udp方式的ddos攻击。接下来,就发生了今天的乌龙事件。
首先,我通过阿里云APP设置了禁止UDP入口,即安全组规则新增如下内容:
规则方向:入方向
授权策略:拒绝
协议类型:UDP
端口范围:1/65535
授权对象:0.0.0.0/0
授权类型:地址段访问
看了看网站,还可以正常访问。随之,我又增加了一条禁止UDP出口的规则,即规则方向为出方向,其他同上。添加完后,我发现我竟然看不到规则,又重复添加了下,还是看不到规则。(乌龙时间起使点)
我又访问了下网站,还是正常的。但是,我访问wordpress后台,却很长时间上不去了。接着,我到阿里云app那里,提示我无法链接到云监控,连cpu内存等的占用情况都看不到了。过了会,直接提示云监控已断开链接。
接着,我ssh登录服务器终端,发现可以ping通ip,缺无法ping通域名了。这个时候,我就怀疑是规则出了问题,可能dns解析跟udp有关系。
想办法加白名单吧,我服务器上查了下阿里云的监控相关及dnf解析相关,都是100.100开头的ip。
然后增加了如下白名单,允许100.100.0.0/16访问udp服务。竟然还是没有用。
没办法,我删掉了刚才添加的规则(禁止UDP入口和白名单规则),发现还是不行。眼看就到下班点了,就联系了阿里云客服。等了大概一个小时(可能他们也没想到会有这么蠢的用户,也找了半天我的问题吧)。整个对话结果如下:
我:详情可以看附件,我的wordpress后台也登不进去了。 然后,ip都能ping通,就是所有域名都ping不通了。
阿里:您好 您的问题我们已经在为您处理,该问题处理需要一些时间,请您耐心等待
阿里:您好 您将您的内网出方向 网络安全组策略删除后测试一下
我:这个我今天下午就删了的,我知道是它的问题。但是我已经删掉了
我:抱歉,刚删掉
我:原来有入跟出两个方向,我说怎么记得我加了个禁止出口,结果看不到。电脑上,刚才仔细找了下,看到了
我:一切都正常了,谢谢啦。我是看到昨晚被攻击导致黑洞。 想着通过禁用UDP来,防止攻击,没想到闹了个乌龙 谢谢,话说是不是可以通过禁用udp,来防止udp方式的ddos,求解答
阿里:您好 DDOS 攻击原理是 TCP SYN攻击 通过网络层面的限制和系统的防护软件是无法防御的 这个只能通过高防产品 引流来抗大流攻击到高防IP 上来防御
我:好,谢谢
我:请问,服务器关机能抵御吗,我感觉今晚十一点还得被打。
阿里:您好关机可以防御
是不是很乌龙的事件,最后我只禁用了UDP的入口,目前还看不出来bug。据阿里客服所说,网络层面的限制和系统的防护软件对DDOS攻击无效(TCP SYN攻击),cc的话,一定程度上,软件有效。而这次我遭遇的攻击,我服务器上没有任何日志(可能攻击在网页应用层下一层吧)。
下面几张图,分别是服务器无法ping通域名,可以ping通ip;乌龙时间是因为我在看规则时,忘记切换入口跟出口,导致没看到出口的规则。
最后,在给大家看看这种UDP攻击的日志(阿里云后台可以下载,在Dos基础防护那里,找到自己的服务器,可以看到证据下载,文件格式为cap文件,需要用wireshark等抓包工具才能打开分析)
这种攻击着实可怕。由于dns解析基于UDP服务,因此拒绝UDP出口,就导致无法解析域名,无法ping域名。甚至,wordrpess后台都无法访问了。
原创文章,作者:古哥,转载需经过作者授权同意,并附上原文链接:https://iymark.com/articles/1557.html
微信扫一扫 
支付宝扫一扫 
