博客和 Twikoo 官方文档防御日志
2022 年 4 月 4 日 ~ 4 月 6 日,Twikoo 官方文档评论区云函数流量出现异常,未触发告警,业务未中断,未处理。
| 日期 | 请求数 |
|---|---|
| 2 日 | 1,162 |
| 3 日 | 631 |
| 4 日 | 1,250,557 |
| 5 日 | 3,923,019 |
| 6 日 | 2,416,396 |
| 7 日 | 4,957,792 |
2022 年 4 月 6 日 14 时,Twikoo 官方文档评论区数据库告警,连接数超限,业务未中断,未处理。
2022 年 4 月 6 日 21 时,虹墨空间站评论区云函数告警,业务未中断,未处理。
2022 年 4 月 7 日 7:40 ~ 10:40,虹墨空间站评论区云函数持续告警,已确认最新评论接口受到攻击。
2022 年 4 月 7 日上午,虹墨空间站下线最新评论接口,Twikoo 官方文档云函数切换到维护状态。
2022 年 4 月 7 日 15:00,Twikoo v1.5.2 版本发布,新增资源防刷功能尝试抵御此次攻击。
2022 年 4 月 7 日 15:33,Twikoo 官方文档评论区切换到备用环境。
2022 年 4 月 7 日 16 时,Twikoo 官方文档评论区备用环境受到相同来源攻击。
2022 年 4 月 7 日 18:35,虹墨空间站 CDN 受到攻击,在同一分钟内触发流量告警、流量封顶触发告警阈值、流量封顶阈值触发,CDN 自动关停,攻击共产生了 3 GB 流量。
2022 年 4 月 7 日 19 时,虹墨空间站切换 CDN,恢复正常访问。
2022 年 4 月 7 日 19:53,Twikoo 官方文档评论区切换回主环境,释放备用环境。
2022 年 4 月 8 日 8 时至 4 月 9 日 8 时,Twikoo 官方文档评论区云函数共处理 2,796,722 次请求,资源防刷功能缓解了攻击,数据库和云函数使用量再无明显上升,业务正常运行。
2022 年 4 月 9 日 10 时,虹墨空间站评论区云函数和数据库同时告警,最新评论接口再次受到攻击,人在外面,未及时处理。
2022 年 4 月 9 日 11 时,虹墨空间站评论区数据库资源超出配额,停服,评论区关闭。
2022 年 4 月 9 日 13 时,针对 Twikoo 官方文档评论区云函数的攻击停止,攻击共持续 3 天。
2022 年 4 月 9 日 14 时,虹墨空间站评论区临时切换为 utterances。
本次攻击目标为虹墨空间站 CDN、虹墨空间站评论区、Twikoo 官方文档评论区,已知同样受到攻击的还有 Waline 官方文档评论区和 hexo-theme-butterfly 主题评论区,无人承认发起了本次攻击,对本人造成的财产损失为 0,所有攻击波次都在短时间内得到处理。
处理攻击的原则:
- 预防攻击,网络攻击成本低,傻子都会,要常态化处理,任何网络服务都可能会受到攻击,防御工作是必须提前考虑的事项,设置合理的告警规则、提前留意云产品,尤其是 CDN 和云函数的计费规则,配置封顶,小心夜间攻击
- 防御攻击,分析异常流量特征(请求头、IP 的请求频率等),并拒绝对异常流量服务
- 无法防御,切换至 Cloudflare 等公共防御提供商
- 无法切换,关停以避免造成损失
博客和 Twikoo 官方文档防御日志
