今天,有位客户服务器被攻击了,查了半天,发现黑客是直接绕过域名直接攻击IP的,采用的是SYN Flood的攻击方式,这是一种常见的TCP漏洞协议攻击,攻击者通过伪造大量伪造源 IP 的 TCP SYN 包,耗尽服务器的半连接队列(SYN_RECV 状态),导致正常用户无法建立 TCP 连接。
然而奇怪的是,客户之前一直是使用高防CDN的来隐藏源服务器 IP 的,之前IP也没有被攻击过,为什么会被SYN Flood攻击呢?要知道SYN Flood攻击是必须知道源服务器IP的。
一问才知道,原来是该客户原来使用的高防CDN是在一家小型的服务商上的,之前用的一直好好的,后来因为稳定性问题更换到了我们京东云星盾这边的防御,源服务器IP是没有更换的。
巧的是刚好被攻击前原来的高防CDN服务商发现客户更换了CDN,于是就过来问客户是不是换了高防CDN。
于是没多久,客户服务器就被打了,这也太“巧”了,而且对方知道你用高防CDN,都没有直接攻击域名,而且直接攻击源服务器IP,因为知道客户使用了他们家的CDN,配置是有源服务器IP的,那么该高防CDN服务商是知道客户的服务器IP的。
于是我们跟客户说明后,客户更换了新IP,马上就好了。
客户怕又被别的攻击,又把CDN换回他们家的了……
所以,这里给我们一个警示:千万不要找那些不知名的高防CDN服务商。
因为当你不用他们家服务的时候,他们可能会想方设法来攻击你的网站,让你觉得还是他们家好,最后换回他们家的服务,一些卖高防CDN的人其实他们自己就是黑客,他们会利用国外的肉鸡对你服务进行攻击,反正你也找不到证据。
正确的防御方法应该是尽量选择国内大品牌的服务商,比如主机帮代理的百度云防护或京东云星盾防御。
如果已使用了小服务商的高防CDN了,更换CDN时,一定要更换源服务器IP,以为被对方通过旧IP攻击你的服务器,同时通过censys查询域名,看是否有暴露新IP的情况,有的话就屏蔽掉censys扫描。
这里我们推荐使用我们的高防服务,我们代理国内知名高防产品,客户可享受优惠购买,我们保证绝对不会攻击用户,为客户提供优惠、安全的防御服务。
主机帮目前有三千多位客户,大多数都是老客户互相介绍的,口碑绝对有保证。