3. 上次不是有个思路,迁移到阿里的聚石塔,一天2块
8.
@情醉中国风,那个什么在 命令行下运行 php 我这边使用的是 workerman 这个框架 不知道行不行的
10. 如果只是被D,上cdn(分地区解析;国内走国内cdn,国外走cf),服务器禁udp,只允许cdn的IP段回源
14.
@大尨,
阿里安全组不放行的端口还会被打到 这是为什么的?
因为IP不是面向连接的,所以不需要建立连接就可以发包,无论是TCP、UDP或者是其他协议,其实都一样。
无论你的安全策略如何,只要对方发了包,包就会到达阿里云那边。只是如果你设置的安全组不允许它通过,阿里云的防火墙会把它丢弃掉而已。但是包还是可以到阿里云的防火墙,会给阿里云带来压力。
当然如果你是在你的机器上抓到这种包,说明你的安全组设置不正确,可能有全部端口开放的规则,或者你只是禁止了TCP,没有禁止UDP。
15.
@老虎会游泳,
这是我设置的规则。
后来用这个方法
https://blog.csdn.net/t1174148618/article/details/100902449把国外的IP全部禁止访问。
又用这个博主的
https://zhang.ge/5066.html这个脚本做了防CC的操作。10秒检测一次,并发50的就拉黑。
刚又被D了一次,发现没死。看IP都是来自国内的。看来禁止国外的IP生效了。
瑟瑟发抖中。
17.
@大尨,你设错了啊,你设的是自定义TCP,流量是UDP的。
20.
@大尨,嗯,这样你的服务器就不会收到了。但是阿里云该黑洞还是会黑洞。因为流量无论如何都会到达阿里云,只是阿里云在流量实际到达你的云服务器之前帮你丢弃了而已。但是阿里云就算一直丢弃,对方还是会一直发,流量还是会占满阿里云的带宽,不断丢弃数据包也会占满阿里云网络设备的CPU。
所以,该黑洞还是会黑洞,流量不会因为安全组规则而消失。安全组规则只是让你看不见它罢了。而黑洞,就是让运营商提前丢弃发往你IP的数据包。数据包不到达阿里云,就不会占满阿里云的带宽和CPU了。
那么DDoS防火墙是怎么操作的呢?他们是有专门的大带宽集群来承接流量,然后丢弃不要的数据包,把剩下的数据包发给应用。因为带宽需要超过攻击流量的最大值才能有效,承接这些流量所需要的网络设备处理能力也非常高,所以DDoS防火墙非常贵。
