DDoS 遭遇记

2010年3月8日22点34分42秒，朋友赵小猫QQ发来消息说编辑帖子就会500 - Internal server error，2010年3月9日上班时，同事说报告文件无法上传，也是提示500错误，经过查看发现服务器/var 的10G空间已经满满的了，习惯的备份并删除之，后来感觉不对劲，再查看一下，发现nginx日志以每秒2M的速度上涨，这就不正常了，查看日志，发现，有人总是访问一个不存在的页面，而且useragent并不是主流浏览器

183.2.109.60 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
123.171.5.7 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
124.163.139.83 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
59.55.47.46 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
113.128.132.41 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
122.230.11.56 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
117.59.46.176 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
112.4.161.20 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
110.16.129.42 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -
119.101.102.145 "09/Mar/2010:03:25:56 +0000" "GET /contribute.php HTTP/1.1" 403 169 "-" "Mozilla/3.0 (compatible; Indy Library)" -

这是其中一段日志，可以看出，访问速度非常之快，当时就怀疑是被CC攻击了，由于对服务器影响并不大，所以没有重视，3月10日上午对公司网站功能模块进行了更新，下午突然发现网站访问速度变慢，起初以为是网站功能模块编写不恰当造成卡机，但是后来进行本地测试并没有发现这个问题，10 日下午3点左右，服务器突然无法访问了，联系机房后得知是被攻击，攻击流量超过1G，这里援引客服的话

尊敬的客户：
您好，请查看附件这个是您机器遇到攻击的流量，这只能为您划出的交换机上的流量 （最大100M），但光纤上遇到的流量已经超过1G.所以我们进行停机处理。

停机后，我们对所有域名停止解析，等待一切平静，晚上9点，流量过去了，赶紧对公司主域名恢复访问，其他域名仍然是停止解析状态，回家睡觉，今天早上来到公司，大家都在议论此事，而此时一切风平浪静，公司网站访问正常，这时我将所有域名重新开启解析，本以为平安无事了，没想到没过多久，新一轮的CC攻击开始了，我们立即意识到，DDoS即将来临，赶紧叫同事把今天需要完成的订单下载下来，以防服务器被停机，暂停解析所有域名，并且通知机房做好连接日志的记录，流量刚上来，估计是域名解析生效了，没有造成太大的破坏，这时服务器还能连接上，通过查看服务器连接发现，38这个IP连接数巨大，而38这个IP是分配给Vcor的黑帽安全小组使用，立即将38这个IP停止，并联系他本人，据他描述，由于黑客动画吧想要吞并他们，但是他们拒绝了，所以黑吧就对他们的网站发动了攻击，了解到这点，我听取了职业欠钱的建议，我启用了黑帽的域名，并且将黑帽的域名解析到了工信部，让他们去攻击，所以各位现在去访问黑帽的首页，蹦出来的就是工信部的网站了，让丫的攻击，攻击完了等着工信部去收拾你

以下是我们自行监视到的流量

上面是按小时查看，可以很清楚的看到受到攻击的情况，后面的没有流量了说明是被机房切断了

上面是按天查看的，可以发现8-11日流量激增

上面是按月查看，可以看到，这个月才10天左右，流量就已经比上一个月多了一倍了

======================================

3月12日更新：

昨天晚上把Vcor的域名解析到了黑吧，结果发现他们的网站停了，今天上午把域名解析到黑吧VIP，发现VIP也停了，但是主站恢复正常