今天,有位站长反馈服务器非常卡,网站甚至打不开,超时。
主机帮查看了下,发现服务器的并发非常高。
但是,奇怪的是服务器的CPU、带宽并不高。
我们通过查看网站请求日志发现,从域名进来的请求数量并不高,由此猜测攻击并不是通过域名进来的。
于是我们通过censys查询域名发现服务器IP是暴露了的。
由此我们推测攻击是通过源服务器IP进来的,于是客户换了个新IP,果然并发下就来。
我们推测是客户的源服务器IP遭到了TCP CC攻击,导致并发非常,而这种攻击并不会记录在请求日志里。
解决办法就是更换一个新的IP,然后用CDN隐藏起来,同时我们建议IP部署自签SSL证书,以免遭到censys扫描IP查到网站IP,同时屏蔽censys扫描。