相信很多人都听说过网络攻击,有时候商战就会采用最朴实无华的下三滥手段,但是别慌对于大多数站点来说根本没有攻击的价值,听着有点可怜哈哈哈。毕竟大规模的DDos或CC攻击也是挺费资源挺费钱的,但是最近潘某人SEO突然意识到一个可怕的事实,大多数网站真的是不堪一击,没有任何的防御,基础的防御都没有,攻击者可以零成本瞬间使网站或应用宕机。
大多数网站的现状
对于大多数企业的网站及应用,基本就只有运营根本没有技术维护,服务器也是往往是怎么省钱怎么来,这也是在正常不过的操作。
相信所有从事过SEO优化的小伙伴就更有体会了。
但现实中,也不乏有一些上了规模的站点,同样不堪一击,不得不感叹下世界是个巨大的草台班子。越是基础的东西越是不重视,但却可以产生令人吃惊的后果。
如何不堪一击
最近闲来无聊在研究研究如何进行压力测试,结果对于一个未经任何学习的我,仅仅花了半小时不到研究,就可以初步掌握,可以说基本没有技术门槛。
对于大多数的网站及应用,出于成本考虑基本都是单体结构部署,整个系统都在一台云服务器运行,没有负载均衡、没有缓存层,甚至数据库和应用都混在一起,进一步的削弱了系统的性能。
对于日活几百上千也许不会有任何问题,但是对于流量突发,高并发的场景下会雪崩。也许你会想着等业务量上去加配置,但是这种连最基础的限流措施都没有,只要简单的做个压力测试甚至只要一段脚本,单个ip就可以分分钟干废站点。
严重的后果
对于攻击者可以说是零成本发起,但对于站点的后果是严重的。对于大多数的网站可能只要几十或上百个并发请求,站点就会直接卡死、响应超时,甚至服务直接崩溃。拿自己的站点试了下,果然非常脆皮,几十个并发的时候就开始不太行了,达到100时网站直接转圈。
很多站点在推广上的投入一点都不吝啬,网站不稳定打不开直接的影响就是广告费直接打水漂。同时还会使站点投入的大量人力无力做起来的SEO优化,也受到影响;如果无法及时处理,站点访问长期不稳定,就有极大可能让多年的SEO优化受到重创。
如何防御
对于这类攻击的防御也非常简单,启用对于ip的请求频率限制,防止同一个ip在短时间内的高频请求,避免影响到其它用户即可。
但是如果站点比较重视SEO,那要注意避免误封搜索引擎蜘蛛,可以通过设置ip白名单、ua豁免等策略来避免;但一般来说问题不大,搜索引擎不会使用同一ip进行高频抓取,只要策略得当即可。
不差钱的也可以直接使用WAF产品开启对于访问频率的控制,同时也具备对于搜索引擎爬虫识别的能力。
结语
对于DDoS和CC攻击,你可以说你需要钞能力才可以;但是对于这种基础的、可以简单防御住的攻击的忽视,那就是真的是"厕所里跳远"。
最后普法时刻,千万不要去尝试攻击他人网站,哪怕你只是“试一下”、“玩一玩”,只要造成后果(导致网站长时间无法访问、造成企业直接经济损失、影响公共服务或大量用户、用于敲诈勒索、商业竞争打压等目等),就会触犯刑法。《刑法》第二百八十六条:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
