近期广东地区肉鸡ip攻击网站的解决方案

近期多发广东地区IP肉鸡对网站攻击的事件

最近一段时间，很多用户有反馈被大量广东地区的ip进行攻击，大量广东IP刷网站的资源，导致网站服务器CPU、带宽占满。这些IP均为广东地区的正常居民宽带网络，并且ip的来源量非常大，攻击方式也会绕过一般的CC防御规则，一个ip一天内分时段访问十几次，每天多达几十万IP访问，让网站服务器的CPU和带宽占满，正常客户无法访问。

目前统计的有113、116、119、14、183、125、121、219、218、59开头的广东ip段较多，比较常用的手段是使用地区屏蔽，但是也会造成正常客户无法访问的问题，如果要让服务器正常运行，只能放弃广东地区的客户。

通过网站访问统计日志统一导出的ip查询显示，大部分来自于广东省地级市ip肉鸡，大量IP段都是正常的电信、移动宽带用户，直接封禁IP段进入黑名单的方法会造成正常客户无法访问。

地区开启人机验证有效拦截攻击而不影响正常用户访问

在分析完成被攻击的原因之后，我们就可以有多种有效手段进行防御了。

求助我们的客户使用的宝塔linux专业版，因此进行拦截就非常的简单了，专业版可以安装nginx防火墙和网站监控报表这两个插件，一个用于防御，另一个用于查看防御的效果，精准的查看防御对网站的影响。

方法如下：

现在进入宝塔防火墙的WAF界面，找到自定义规则拦截，点击添加自定义规则：

设置说明：

• 应用网站可选自己收到攻击的网站
• 规则名称可以自定义
• 匹配规则为 ： 地级市/地区   -- 完全匹配  --匹配内容选择广东--选择所有广东地级市
• 操作选项选择人机验证
• 验证方式选择滑动验证（最有效拦截）

设置完成之后，我们进入网站监控报表，找到网站日志查看效果：

上图可见，大部分的攻击都被直接拦截了，服务器的各项负载瞬间降低了