标签归档:DDoS攻击

CloudFlare CDN使用经验和技巧

Switzerland

以前用过国产的CDN(content delivery network, 内容分发网络),效果不佳,很长一段时间对CDN失去兴趣。后来用了Incapsula的CDN,也没有什么印象。最近用上CloudFlare的CDN,感觉还不错。和我同样用MT主机的佐仔最近也加入了CloudFlare的阵营,中文博客界VPS最高配置的赖博士更是把他中文英文网站都用上CloudFlare的CDN。

他们问我有哪些CloudFlare设置经验技巧?我觉得CloudFlare的设置很人性化,注册按提示操作很快就可以实现全部配置,简单到可以用默认的设置即可,不过,我还是有一些个人觉得比较好的配置:

  1. DNS选项:DNS Records里面将泛解析去掉(如果有的话),只留下CloudFlare“云朵”保护下的A解析和CName解析(我这里的解析速度快到只有11 ms),彻底隐藏网站的源IP,对防DDoS攻击有一点点好处。DNS分配的IP通常有2个,CloudFlare使用了Anycast和Nginx反向代理技术,实际上CDN加速时,会自动分配最近的数据中心https://tumutanzi.com/cdn-cgi/trace 可以查看浏览器联系的数据中心(colo值对应相应的数据中心)。
  2. Crypto选项:我启用了SSL (with SPDY) Strict(我的网站本身有SSL),意思是CloudFlare的服务器和我的主机之间的通信也需要SSL加密,然后我还启用了HTTP Strict Transport Security (HSTS),并开启里面的所有附加选项。
  3. Speed选项:Auto Minify里选择Gzip压缩CSS, JS和HTML三个选项,减少网页传输流量大小。Rocket Loader™,进一步合并优化JS代码异步加载,我选择Automatic。这个功能因人而异,需要自己测试,如果对网页加载有影响的话就不要启用,毕竟是BETA功能。
  4. Firewall选项:Security Level我使用了高级High。
  5. Caching选项:Browser Cache Expiration我选择了一年的有效期。
  6. ScrapeShield选项:Email Address Obfuscation启用,保护网页上出现的邮箱名不被机器人扫描。

总体来讲,我认为CloudFlare不仅仅是CDN,还有一些网页优化、安全防护的功能,并且都是免费用户就可以享用。用上CloudFlare后,我的源主机几乎看不到网站资源消耗,连流量都节省了60%以上,统计显示,最近7天来,总流量10.31 GB,缓存化的流量达6.72 GB,挡住了285个有害威胁(主要来自中国)。

发现了一个小伎俩,和我几乎相同软件和硬件配置的佐仔说,无论如何都配置不好CloudFlare的HTTPS SSL,总是出现502错误,我重新购买了SSL证书亲自试验了一下,发现重新注册一个CloudFlare账号就解决了问题,CloudFlare似乎对免费账号的SSL功能有所保留,也可能是BUG,百撕不得骑姐。

我对赖博士说,如果不考虑中国大陆的访问速度,我目前还找不到理由不用CloudFlare的CDN。当然,也可能正是这条理由,大部分中文网站不太可能拥抱CloudFlare的CDN。

拿得起,放不下

土木坛子

最近被DDoS攻击的事情搞得有些焦头烂额。甚至一度有想放弃网站的念头。但是,我还是放不下这个网站。写了这么多年,它就像自己的孩子一样,放不下。

维护一个完全独立的网站,除了需要一定金钱投入外,更重要的还需要花不少时间和精力,这些在大部分人来看,都是不必要的事情。

我也试图问自己,为什么要坚持?为什么放不下?

说到底,这个博客,不过是自己随便写点东西的地方,随便到甚至刻意少写或者不写自己研究专业的东西。我想,这是我认为自己能掌控的最自由的一个地方。它面向全世界,如果那个地方有自由的互联网。

也是通过这个网站,我亲身体验了互联网的一些技术细节——虽然是一些皮毛,但基本够用。懂得搜索引擎的原理,如何获取流量的小技巧,网络广告的赚钱方式,满足了自己的好奇心。许多事情,只有亲自去参与,才会理解得更深一些。

土木坛子写了这么多年,我自己都佩服自己把一件事情坚持了这么多年,我希望不要轻易放弃。

在这么多年中,我甚至已经形成了一些习惯,写作已经是我生活的一部分。写作的时候,就像自己在做思想体操。它锻炼我观察生活、记录事件、经常思考、表达观点的能力。同时,时间花在了思想体操上,思想上龌龊的东西就相应少一些。

诗三百,一言以蔽之,曰:思无邪。

宗教信徒们需要到宗教场所去通过庄严的仪式来提升自己,因为有仪式,效果才会更好一些。在个人网站上写作,也是一种仪式,它比个人日记更正式一些,写起来也更认真一些,自然效果也就更好一些。也因为经常履行这种“仪式”,所以更能坚持下来。

除此之外,大脑中所想的东西经过键盘的记录,通过网络的展现,能与志同道合的网友们一起阅读交流,我的那些幼稚的想法得到了别人的纠正,那些不幼稚的想法也许不经意帮助到了别人。记录着,就越来越清楚自己是谁,自己需要什么,自己不需要什么。

写作,是对生命的一种礼赞。
我们沉浸于生活的时候,会遗忘生活赋予我们的理想。
我们停下脚步,用笔尖与思想同黑夜对话的时候,我们就感觉到了自己。

通过这个网站,获得了不少网友不同寻常的信任,他们主动请求我为他们的孩子代购奶粉,并说只有我才靠谱,也是他们,主动捐赠帮助我的小学母校(那个小公益我还在坚持着,并没有放弃)。而这之前,我根本就不知道他们的存在。我没想到自己的博客会给自己带来这些意外惊喜,我觉得很有趣。

同样是这些网友,在土木坛子遇到困难的时候,鼓励我

如果需要我想我们可以赞助你购置硬件防火墙!因为这里还是我心中的乐土。

土木坛子目前并不需要大家的经济赞助,但好一个“乐土”二字,让我心头为之一震。

千言万语,到最终我还是觉得回归记录,这是根本的根本,因为这就是自己在网络上的一片自留地。

所以,放不下,至少目前还是这样。

再也不见,ICDSoft

前两天被DDoS攻击,然后被香港ICDSoft清理出户。我试图恢复ICDSoft的账号,但是ICDSoft客服表示,这是他们的最终决定,必须终止对我的服务,并把余下的付款退给我。

鉴于最近,有包括我在内至少三个ICDSoft客户遭遇如此情况,我有理由猜测,很可能是某些恶劣的主机同行,使用这样的手段,打压ICDSoft。我以前还以为ICDSoft能抵抗DDoS攻击呢。

土木坛子现在总算恢复过来了。目前,网站存在于美国Media Temple主机,并使用了CloudFlare的CDN服务,希望目前的这个方案能继续存活下去。这个方案的缺点很明显,除了WP Super Cache缓存有问题外,CloudFlare的CDN在国内的访问情况会有不少问题,有的地方会很慢,甚至有的地方根本就无法解析网站的IP。

还有,IE 9以下的浏览器无法浏览土木坛子了,因为Media Temple和CloudFlare的SSL都是基于SNI,IE 9以下不支持。我看了一下网站统计,IE 9以下的用户数量极少(< 1%),毕竟能访问土木坛子的网民,与IE 9以下的浏览器还是交集较少(更新:据说是Windows XP系统下的IE浏览器不支持: SNI in Internet Explorer depends upon the SChannel system component shipped with Windows Vista. 但Windows XP下的Firefox浏览器支持)。

我目前没有其它更好的办法,让土木坛子存活于自由的互联网上,是首要任务。

Leonax博友炫耀式地写了一篇博文,批评了ICDSoft的这个政策。我把这个链接丢给了ICDSoft的客服,好歹也算与它再见时,反馈一点信息。客服回复我,解释了他们为什么需要这样做:

Thank you for the input. We had to run an automated translation on the text, as we do not speak Chinese.

We are sorry, but we offer shared hosting service. This means that we host multiple customers on a single machine. We cannot allow the service for all customers on the shared machine to be down in case of possible future DDoS attacks. Such attacks are a problem for any online businesses, and we, like any other provider, strive to contain such attacks, minimizing their effects. However, some attacks are extremely severe, and there is not much we can do to fight them effectively.

Best regards,

ICDSoft Support

虽然我尊重它目前的服务条款,但这并不能表示我不可以表达我的主张:

Hi,

Yes, my website and another two (another two bloggers) were recently affected. We are of course the victims just as ICDSoft. And we are now kicked out from ICDSoft. We do respect the TOS of ICDSoft.

I just want to tell you it is also a pity that you cannot fight against this kind of attack, and just simply kick the affected clients out. So this blogger (who works in Google) posted the post which to some extent criticizes ICDSoft.

I have been served by ICDSoft for several years, it was always so nice except for this time. I hope ICDSoft can improve it in the future, since I did like ICDSoft so much, and I even did not show any angry to ICDSoft on my blog though I do have the reason to do so.

Best regards,

Blogger of https://tumutanzi.com/

前一阵我还在想,每年要交两套主机的钱,一个ICDSoft,一个Media Temple,加起来也有2000多块人民币,现在好了,ICDSoft主动把我抛弃了。

这就像两个人谈恋爱,你爱着她,到头来一遇到一点外来的矛盾,对方直接把你抛弃。

那就只好再也不见了,ICDSoft。

正义被邪恶战胜

2015年7月8日更新:目前应该全部恢复正常,欢迎反馈访问情况,谢谢!

一个很不幸的消息,土木坛子昨天被攻击了,史无前例的野蛮DDoS攻击,最后被主机商ICDSoft扫地出门。

Dear Customer,

We regret to inform you that we can no longer host your tumutanzi.com website on our servers. Your website was target of a distributed denial-of-service (DDoS) attack. The attack affected the websites of all users on the server where your account is hosted. That is why we must ask you to move tumutanzi.com to a host that offers DDoS protection with their services.

We would regret to lose you as our customer, but we hope you can understand that we cannot risk the stability and reliability of our services.

Unfortunately, due to the ongoing attack, we had to blackhole your site’s IP address, effectively blocking all access to it. The account is still active however, and you can use the online Control Panel to create and download backups of your content: https://cp.evilddos.com

To connect over FTP, use evilddos.com as FTP host.

Your account will be fully disabled after 48 hours.

We would appreciate your kind understanding on this matter.

Best Regards,
Abuse Department

目前正迁往其它地方。HTTPS目前还未设置好。只能HTTP非加密模式访问,可能会导致过去的图片无法查看,某些链接也可能会无法正常访问,可能需要手动修改HTTPS成HTTP链接。

在HTTP模式下,中国大陆也无法正常访问土木坛子。

这个世界白的东西不多,黑的东西不少。

一个人畜无害的个人网站,过去被小黑客调戏,后来被GFW集团列入黑名单,现在居然值得动用DDoS来陷害,光明往往被黑暗吞噬,正义经常被邪恶战胜。

这是土木坛子第900篇博文。

遭受大规模DDoS攻击

昨天替某HR发布了一条招聘信息,当时有两博友问我:是不是网站被黑了?我一阵茫然,发布这么一条信息居然让大家以为网站被黑了。不过,接下来我就发现,网站确实遇到了麻烦了:访问速度超级慢。

我于是和我的主机托管商ICDSoft技术服务联系了一下,得到确认:ICDSoft香港数据中心的服务器确实正遭受大规模严重的DDoS攻击(可以理解为领着一大帮流氓来店铺堵店,使得正常的顾客无法进出),导致托管在ICDSoft香港数据中心的网站访问极其缓慢,丢包严重。

后来,我把相关信息发布在社交媒体上,有网友反映,这种状况出现好几天了。而我由于没有注意,直到昨天才发现。几个小时后,ICDSoft的技术人员回复我,说攻击得到了有效缓解处理。不过,到今天白天时候,依然访问缓慢,看来攻击还在继续,黑客猖獗。

据我所知,托管在ICDSoft上的中文博客有阮一峰、勺子、Hisherry.com 以及土木坛子,当然还有其它的网站,只是我不清楚。目前看来,这波攻击不像是普通黑客所为,毕竟DDoS攻击也需要付出成本,如此长时间大规模的攻击,也许有所目的,给我感觉好像瞄准托管在香港的中文博客一样。至于具体是什么目的,我不得而知——肯定与我讨论过好莱坞艳照门事件无关吧。

我的网站托管到ICDSoft后,从来没有遇到过访问方面的安全问题,现在终于遇上了DDoS攻击。好在ICDSoft技术人员的服务还不错,一直在维护处理这些攻击,相当专业也很负责任。这也是我为什么宁愿高价选择ICDSoft的服务,也不愿使用需要自己付出精力的VPS。

没有受到黑客攻击的博客不算资深的博客网站,现在可能还要加上一条:受到过DDoS攻击。