- A+
假墙的出现
2021年,大量境外IP的站长遭遇“将军团伙/总裁/烈马”的勒索攻击,表现为,网站国内全网都挂,谷歌浏览器显示“链接已重置”,然后要求站长挂BC广告等要挟,除了80、443都可以访问,换IP也可以,但用不了几分钟又会被屏蔽,尝试CDN,包括腾讯境外的节点、CF节点都让墙。
现在造成流量大跌,间歇性打不开网站,要不停的更换IP才能访问。该如何解决网站问题
该团伙使用的手段总结为利用防火长城的bug进行网络攻击,攻击操作方法如下: 使用两台服务器,一台国内服务器一台国外服务器,他们国外服务器上面架设有大量敏感词以及其他违法内容,在他们自己国内的服务器上面修改host,使正常域名指向他们的非法服务器,这时候在这台国内服务器上面使用工具,post你的域名来访问违规的内容,从而触发gfw的自动过滤机制。 (被攻击的网站中国无法打开,和被墙一摸一样,即使更换服务器ip,也只能维持10分钟左右又会被屏蔽。)
勒索者通过刷百度关键词联系站长,“想解决网站被墙,屏蔽问题联系... “ 留下了纸飞机和QQ号码
假墙的原理
1. 被墙域名解析到目的站点
2. http post 违禁词 (短期墙IP 和域名,长时间会引起dns污染)
3. dns 投毒。这个并不是污染域名的,只是造成一个 被污染的假象, 其实只能攻击各地 isp 的 dns
权威的都有很好的防护搞不了。 比如这类 127 或者返回 0.0.0.0 的, 只是各地isp dns 会返回这个。
爬虫的蜘蛛和权威dns解析还会保持正常。虽然这个属于区域范围内的 isp dns 投毒,和墙的污染还是不同,直接使用国外 dns 就能避免被投毒。不过这个应该不属于假象,毕竟绝大多数上网的普通人,用的就是 isp 分配的 dns ,被投毒也是实实在在的。
4. 不经过源站 改host到攻击者伪装的机器上,强行撞墙, 只是听说
假墙的解决方法
检测被墙类型
1、被墙之后,使用IP直接访问看看能不能访问,或者国内ping一下IP看看能不能通。如果能通可能就域名问题,如果不通可能连IP都封了,封IP的情况也有多种,也先看看。
2、nslookup查询一下你的域名,看看是不是被污染了。
如果返回脸书,推特等等网站的IP,一般就是污染了,如果返回127.0.0.1,可能被当地运营商劫持了。如果可以正常返回,但是国内就是打不开,可能就是sni阻断,域名被封了。
3、还有SSL,试一试加hsts看看有没有效果。如果域名已经被封了,那一般也没有什么用。
4、如果是正规网站,迁移回国内有概率解封,污染严重就没有什么办法了。
已经证实的办法:
1.HTTP阻断,加入HSTS Preload List可以解决
第一步:开启HSTS,如果用了CloudFlare可以直接开启
第二步:访问https://hstspreload.org/ ,输入你网站的域名,然后点请求加入
2.在假墙攻击的时候,建议域名换成华为云DNS。支持TTL 1秒的解析。在遇到假墙攻击的时候同时解析100个IP,分省解析. 切记做分省解析,IP分散开来。
3.用站群ip服务器。要先准备一台一个站群服务器,建议一整个c段253IP以上的服务器
原理是,假墙封ip几个小时,每1分钟换一次解析,轮流使用250多个ip使其超过他封禁时间。用linux定时任务,每一分钟运行此一次。
4.最好准备好跳转的301域名,在第一时间被污染和墙的时候直接选择跳转。
