本文最后更新于：2024年12月1日凌晨

前言

2024年7月到9月间，大部分用户都遭到了来自山西IP的流量攻击，这个流量攻击可不是简简单单的DDoS和CC这种大规模、简单暴力的攻击，而是防不胜防的慢攻击

请在此添加图片描述

慢攻击

与常见简单暴力的DDoS、CC不同，慢攻击最显著的特征就是“慢”，DDoS是快，一瞬间成百上千甚至数万个节点暴力刷一台服务器的流量或者请求从而导致瘫痪，而慢攻击则温柔得多，甚至慢到让防御系统认为是正常地访问。打个比方，DDoS是一万个人同时挤进一家饭店点餐，而慢攻击是10分钟一个人，但这一个人把菜单上面所有的菜点了个遍，顺便还点了几百箱酒。

难点

防御它，难就难在它不好检测，传统攻击限流就好了，限流能解决99%的DDoS，毕竟这些攻击太有特征了。而这次大规模慢攻击就有点棘手了，就像上面的例子，如果是DDoS，店员让他们10分钟进来两个就行了，人没走就关门限流，但10分钟一个人，不排除这个人是大胃王能吃吃喝喝那么多，况且我们也不好把他赶出去，他就一直在霸座位，这就是难点了。

不仅占用带宽和服务器资源和平时水平相差无几，连发起攻击的用户都是“白名单”用户，即正常访问的，目标明确的。这就给特征分析带来一定难度。

实例分析

事件经过

我们公司的网站在今年7月15日21点开始，陆陆续续触发每5分钟的流量封顶的80%（即8GB）但也仅仅是提醒，没有做出防御动作，因为这5分钟内还没达到10G的水平，而拦截至少触发10GB，这个10GB是根据我们业务峰值加权平均得到的，过去几个月访问量每小时差不多也在6~~8GB左右，而且这个6~~8GB是在几分钟内达到峰值，在其余时间段流量很少。之所以被刷流量，是因为eo短时间触发了这个峰值，这点流量到是不怕，怕的就是时间很长，当提醒超过流量阈值的时候，已经过了40分钟了，此时流量已经不见了20GB，直到攻击停止，这段时间陆陆续续刷掉了200GB。

请在此添加图片描述

而在被攻击后，合理配置使用eo的拦截功能可以很大程度减少流量损失。

防御措施

根据大家反馈，这次攻击很广泛，但是攻击源很固定，ip属地均来自江西省，那这好办，eo的特定ip拦截直接过滤了

请在此添加图片描述

eo防御入门

购买

9.9一个月，至少从开售到今天，价格依旧没变

Edgeone个人版的套餐价是9.9每个月，包含50G流量和300万次请求，而且一个站点内共享这些资源

不过，现在腾讯云有双十一活动，点击这里，Edgeone新用户36元一年起，轻松剩下几百块钱，拼团再送1个月

请在此添加图片描述

如果还没有购买的用户，可以前往活动现场低价购买。千万别错过了，还剩最后三天！！！

基础配置

添加域名、解析什么的老套路就不说了，可以跟着引导一步一步来，不难的。

安全配置

ip段拦截

这就是本文的核心了，如何使用eo抵御慢攻击。

即使“大胃王”的胃口很牛，能把服务器资源一遍又一遍地吃下去，但是，这胃未免也太大了，所以，正常情况下我们还是能够识别出来这个“大胃王”不正常的，通过eo安全分析-流量排行可以看单个ip消耗的流量，

请在此添加图片描述

像上图这个来自江西的ip段，明显不正常，所以，记下这个ip段，来到安全防护-Web防护-自定义规则处，把这个ip段填写进去

请在此添加图片描述

这个配置的意思就是ip触发了这个ip段，就进行拦截。

记得，这些配置一定要启用，并且以站点的级别进行使用，否则将不会生效

速率控制

同样的，在Web防护页面，还有一个防护，那就是限流

请在此添加图片描述

根据自己的业务量，来设置合理的范围

请在此添加图片描述

eo也提供了自适应模式，来弹性适应访问量变化。

同样地，也可以使用精准速率控制来进行更细致的设置

请在此添加图片描述

用量封顶告警

在用量封顶策略处，提供了由速率、请求数和累计流量等维度进行防御

请在此添加图片描述

像慢攻击，与流量息息相关，可以开启5分钟内，L7流量超过某个数值停用服务，同样地，需要设置告警阈值，上图则是达到5G后自动发送信息，以告警运维实时关注动态。

一般根据业务来设置，如果像静态网站，资源不多的，流量比较平缓，适合每5分钟监测，因为静态页流量不会太大，如果超过平均值就说明被刷了。类似下载站、视频站这种大文件多的，适合用小时为粒度进行监测，一般没人访问的时候都是没有什么流量的，一访问就是数十G，而且时间比较集中，跟慢攻击比较类似，如果开得太低容易影像正常访问的用户。