走走歪路,利用GFW来防DDOS攻击

来源:http://soido.org/blog/857

一朋友的香 港空间昨天挂了,起初是数据库连接出错,后来干脆不能访问了,出现Service Unavailable。

询问空间商,说是:

��域名是由於有太多的�接�到�域名,已超出��域名的��上限,所以才�出��法�示或�不到���。��域名的�站��限制是 500。

我查了站长统计,发现IP和PV数和以前皆无甚出入。

找空间商要了近两日的空间访问日志,发现前天的日志文件只有22M左右,而昨天的日志(未满24小时)竟达169M,相差甚大。

分析了昨天的日志,发现有500多个不同IP共100多万次访问都是针对 /xxx.asp ,这个页面是产品的详情页面, 而正常情况下,用户是不可能访问到这个页面的,而只能通过其他页面的链接访问到/xxx.asp?id=xxx(必须带ID)。

而恰恰朋友用的这套程序居然没对这种不带ID的情况做处理,直接让数据库查询失败而出错。这样的错误达到一定量必然引起数据库挂掉,后来我修复这个 错误后,但随着攻击力度的加大,突破了IIS分配给空间连接数的上限,还是彻底挂掉了。

从技术上分析,这应该算是DDOS攻击,近年常有发生,一些大型网站都屡屡遭殃,这小小的虚拟空间又如何禁受得 起?!

今日空间商帮忙更换了IP,我也是灵机一动,想到一个绝妙的办法,竟然可以利用GFW来防御DDOS :

若当访问者未带ID时,认为是非法访问,自动跳转到/?minghui。

注意问号后面的词,这是被GFW屏蔽的一个词,只要用户访问的网站URL中包含这种词,用户会在短时间内(大概一分钟吧)不能访问该网站。(相关示例

这样一来,世界上最强大的防火墙就为我挡掉了许多攻击,一直被我们痛恨的GFW终于为我立功了!

最后总结一下,此法需要注意两点:
1. 所托管服务器必须非大陆空间;
2. 真正应用时,要在你的程序中判断那些是来自DDOS的访问比较困难;

此文仅供技术参考,若发生不良反映,后果自负!

3 条评论:

Unknown 说...

强人啊!连GFW都被利用了。

Delete 说...

巧了,这几天我也考虑了一下如何更好地利用墙的事。但是我考虑的是如何做攻击。
我对墙的原理其实还不是很熟悉,只是随便这么一说,高手看看有没有道理,有什么不对的地方。
基本前提是:如果我伪造源ip向目标ip发送含有超敏感词汇的请求,是否就能在一段时间内阻止该源ip和目标ip之间的通讯呢?
如果我用254的4次方次同样的攻击遍历所有ip地址,都以百度为目的地址,是不是就组织了所有用户对百度的访问了呢?

Clyee 说...

朋友 能否帮我澄清 我被恶意攻击了 http://clyee.com/1451.html