昨晚10点50多,收到阿里云的短信提醒,说服务器异常,当时没有时间处理,直到今天11点多,发现网站仍无法访问,登录阿里云后台,发现 CPU占用 100%,SSH无法登录,才知道问题的严重性。重启服务器,好不容易SSH登录服务器,停用了 lnmp 环境,下载网站日志,才知道是遭到了 DDOS 攻击,这是使用阿里云服务器一年多以来最严重的一次攻击。
联系了阿里云客服,没想到大年初一居然还有人,按照提示,将云盾的防 DDOS 阈值调整低一些,然后云盾就开始清洗攻击流量,对方可能也检测到了我们正在处理攻击,所以由单一的“TCP连接攻击”,到“SYN洪水攻击+TCP连接攻击 ”,最后干脆就“SYN洪水攻击+TCP连接攻击+HTTP Flood(CC攻击)”,这些都是云盾自己检测到的,它还统计出了攻击的IP,于是我就将这些IP都添加到防火墙。
期间也按照 v7v3.com 站长 @奶嘴 的提示,修改了 sysctl.conf 和 iptables 设置,参考资料:
http://skyfree.me/201211_479.html
http://www.centos.bz/2012/04/linux-syn/
非常感谢 @奶嘴 在服务器配置方面提供的多次帮助!
最终还是消停了,不知是攻击者自己放弃的,还是阿里云云盾的强悍。通过此次处理攻击,让倡萌知道了,需要自己根据实际来修改云盾的防 DDOS 攻击的流量和报文的阈值,这样云盾才会自动启用清洗,才能更好更准确地处理攻击。