真实案例:帮助某教育用户抵抗黑客

  • 2019 年 10 月 6 日
  • 笔记

在公有云上,某教育用户开通了一个Windows Server 2008主机,用于近期高考学生使用网站业务。但不幸,开通网站业务不到一天,网站面临无法访问的问题。我们今天来看看究竟出现了什么问题,我们是如何解决的?

一、网站系统架构非常简单

业务架构非常简单,webServer一台 + SqlServer一台,webServer采用IIS7,SqlServer采用Microsoft SqlServer2005架构。WebServer只启动了3389端口及80端口的防火墙策略,SqlServer只允许内网访问。

二、问题出在了哪里?

1、业务的访问量超过了服务器的性能。

该webServer的业务TPS(每秒事务量)大约是4000,但当地的学生用户数超过10万。

2、用户直接将webServer的源IP通告给了最终客户,客户直接通过IP地址访问该网站。

网站的源IP地址直接暴露给公网的用户,相当于裸泳,网站处于完全暴露的状态。黑客可以使用DDOS、web漏洞攻击等方式进行直接攻击。在互联网行业,源IP地址是秘密,不允许擅自告诉任何人。

3、webServer遭受到了TCP长连接的攻击。

通过监测webServer的在线连接,发现受到TCP长连接的攻击。同一个最终用户(学生端)的源IP地址使用连续端口(每个IP地址的连续端口数在6个左右)访问网站业务。该学生端的IP数近三千个。

三、解决办法?

1、针对服务器的性能问题,只能采用扩容方式解决。

因问题处理时间较紧,只保留了处理方案,暂未实施。建议方案:采用负载均衡+WebServer提高前端处理能力;采用读写分离提高后端的处理能力。

2、采用域名访问网站+云WAF,并更换网站的IP地址。

为避免将网站直接裸露出来,建议用户临时更换了网站的IP地址,该新的IP地址严禁告诉最终用户。通过域名方式访问该网站,同时临时采购了云WAF,将域名的CNAME指向了云WAF的地址。

将网站的云防火墙设置为只允许云WAF的地址访问,进一步提高了安全性。

通过第二个方式的处理,目前业务已正常运行。