dhdj

【Lv:3】
Jan 27, 2020
7
8
62
Michigan
1,312金粒
:evil:
前言
众所周知,我在4月25-26日连续干爆了minebbs两天。
期间yyt尝试用btwaf规则,btwaf加强验证,360 奇安信来阻挡cc攻击,但是很不幸,都失败了。
既然minebbs都这么不抗打,那么用minebbs的人的网站肯定也相当的脆弱。(基窝服务器的官网我甚至不用挂代理就可以干掉,逃)
于是我来教大家如何才能避免网站被别人透,或者说被透了应该怎么办。

小提示
1. 只挂CDN并不能阻挡cc攻击,但是可以阻挡ddos攻击
2. 攻击者的花费比你的花费还高 (我除外)
3. 开启一些防护措施只能阻挡一些新手,阻挡不了有编程知识的人
4. 不要同时开启两种验证码防护措施,因为这只会让用户填写很多验证码,就像minebbs一样,当我干爆了360奇安信后YYT竟然同时开启了btwaf和360奇安信。我也不知道他在想什么,但是我既然能分别爆破,就也能同时爆破。
5. 当使用cdn时,源站的处理能力会大大决定对方的cc是否成功,比如,minebbs的源站只有1个核心,所以我用一台1h2g的服务器·就可以轻松打爆,而如果minebbs的源站有8个核心,我就可能打不爆了。(前提是带宽够)
6.一定要设置规则屏蔽没有ua,各种常规header的请求
7.遇到攻击时不要慌,尽自己所能开启防御然后就等恢复就好了。(btwaf可以轻微增加攻击者开销,360奇安信可以显著增加攻击者开销,等攻击者没钱了自然就不攻击了)
8.仇人越少越好,但是遇到和我一样的闲的没事的人就没办法了

某些奇怪的截图

minebbs: JROTyj.png

JROzpF.png

JRjPgg.md.png

JRjJV1.md.png
 

某猫猫

菜鸡\( ̄︶ ̄*\))
Staff member
版主
Feb 23, 2018
268
1
81
157
Awards
10
Haruna-yama
13,720金粒
无解是不存在的,只要量够了,纯静态cdn也办法(前提是cdn还会不定时回源),最安全的方法还是github pages
打随机目录照样无解,cdn会拦截,全站缓存等于无解
 

某猫猫

菜鸡\( ̄︶ ̄*\))
Staff member
版主
Feb 23, 2018
268
1
81
157
Awards
10
Haruna-yama
13,720金粒
无解是不存在的,只要量够了,纯静态cdn也办法(前提是cdn还会不定时回源),最安全的方法还是github pages
GitHub page不套cdn一个月100G的流量被刷完即GG
 

某猫猫

菜鸡\( ̄︶ ̄*\))
Staff member
版主
Feb 23, 2018
268
1
81
157
Awards
10
Haruna-yama
13,720金粒
你说github的100GB流量打完就完,可是github上的页面可以部署到netlify,netlify承诺无限流量 :喝水水:
亲亲联系上下文呐 :瞥你: 看清楚在聊GitHub page的问题,我当然可以用netlify,不过如果要是这样为什么不用ZEIT呢?一堆GCP负载均衡速度不知道快到哪里去了:恰饭:
 

ANONYMOUS

专业咕咕咕
Aug 13, 2019
141
3
28
117
Awards
1
Void
2,730金粒
亲亲联系上下文呐 :瞥你: 看清楚在聊GitHub page的问题,我当然可以用netlify,不过如果要是这样为什么不用ZEIT呢?一堆GCP负载均衡速度不知道快到哪里去了:恰饭:
拜托您看清楚我回复的哪条帖子 :evil: :捧脸脸:
 

ANONYMOUS

专业咕咕咕
Aug 13, 2019
141
3
28
117
Awards
1
Void
2,730金粒
亲亲,您回复的是我跟dhdj讲GitHub page流量100G被打完就翻车呢 :恰饭: 球球宁了看清楚就,以为自己知道个netlify就不得了了
对啊,你说GitHub page的100GB流量打完就翻车了,可是傻子也知道流量打完迁移啊 :emmm:
 

Staff online