时间轴

在UTC+8 11:30分左右,检测到攻击发生

在UTC+8 11:45分,经过对照实验,发现中国大陆访问时HTTPS不通,但是HTTP正常

在UTC+8 11:50分,经过对照实验,发现与域名无关(包括IP HTTPS)

在UTC+8 11:55分,经过对照实验,发现TCP443不通,其他端口的HTTPS、HTTP等服务正常

初步判断为统一攻击 IP:443端口,尤其是TCP。ICMP和其他端口不受影响。

攻击模式特点

  1. 目前已知仅 443端口阻断,有没有阻断UDP暂且不知道
  2. 境外CDN 无额外影响(CloudFlare、G-Core),并没有攻击境外CDN的IP
  3. 境内CDN 使用HTTP回源无影响,使用HTTPS-443端口一样被影响(比如百度云加速、Dogecloud)
  4. 更换其他端口(HTTPS/TLS)和HTTP-80无影响
  5. 备案域名无效,攻击的是IP的端口而不是域名

本站服务节点影响情况

受到本轮攻击影响的服务节点

  • 新加坡腾讯云
  • 美国搬瓦工-DC6-GIAE
  • 日本Xtom软银
  • UK伦敦甲骨文(1个节点)
  • KR春川甲骨文(3个节点)
  • US凤凰城甲骨文(1个节点)

未受到本轮攻击影响的服务节点

  • 香港Hosthatch
  • 美国Contabo
  • AE迪拜甲骨文(4个节点)
  • AU墨尔本甲骨文(2个节点)
  • US凤凰城甲骨文(1个节点)

注意到甲骨文节点中,被攻击的节点均在 2022年8月下旬GFW持续干扰境外IP正常访问的案例报告 中被提及

注意到其他节点中,被攻击的节点均在为主力服务节点(而且基本非直接使用,而是套娃了其他CDN)

注意到其他节点中,未被攻击的节点均为后端节点、中继节点、冷备节点

解决方法

硬刚GFW

可以考虑使用便于更换IP、成本较低的,请勿使用高成本IP/服务器

(直接更换)AWS、Oracle、GCP、AZure

(可能需要重开)Vultr、DigitalOcean、Linode、Buyvm

CDN与套娃

中国大陆CDN

可以考虑 加速乐、百度云加速、腾讯云CDN、华为云CDN、Dogecloud

境外CDN

可以考虑 CloudFlare(完全免费)、CloudFront(注意别被坑钱)、Gcore(免费挺稳)

除了直接使用CDN,也可以再套娃一层反代IP

装死摆烂

直接屏蔽中国大陆IP 访问

更换端口和IP

换IP应该是治标不治本的,很有可能马上关进去,换端口也是

友情提示

《非经营性互联网信息服务备案管理办法》(信息产业部令第33号)已经2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过,现予发布,自2005年3月20日起施行。

其中提到 “在中华人民共和国境内提供非经营性互联网信息服务,应当依法履行备案手续。未经备案,不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务,是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站,提供非经营性互联网信息服务。”“拟通过接入经营性互联网络从事非经营性互联网信息服务的,可以委托因特网接入服务业务经营者、因特网数据中心业务经营者和以其他方式为其网站提供接入服务的电信业务经营者代为履行备案、备案变更、备案注销等手续。”

 

  • alipay_img
  • wechat_img
最后更新于 2022-10-03