阿里雲ECS伺服器被DDoS無解，請問我該何去何從？

01-03

我是阿里雲ECS用戶。從2014-05-17日晨至今，我ID為AY140429115144691443的伺服器反覆遭受SYN攻擊，伺服器一直處於阿里云云盾的清洗、黑洞、恢復、再清洗、再黑洞、再恢復的狀態，已經嚴重影響到我互聯網業務的正常開展。
因我公司業務正在推廣過程中，伺服器無法訪問對我們造成了極大的經濟和客戶的損失，我多次尋求阿里雲提供相關解決方案，不能總是給我下線操作，單被無良的客服告知無法解決。而後要求提供技術支持電話，被告知可以轉達或留言，但沒有相關技術支持的服務。再然後我要求提供投訴電話，仍被告知可以留言，但沒有投訴電話及途徑。我出離憤怒了！
首先需要說的明的是，我的伺服器操作系統沒有漏洞，系統補丁均升級到最新。業務也經過漏洞檢測，沒有問題，是合法正常的業務，遭受SYN攻擊，這不是我的過錯。

其次，我以為阿里雲網站產品服務項目中ECS服務頁面雲伺服器_伺服器ECS_詳情介紹有介紹宣稱：「服務可用性99.95%，數據可靠性99.999%」、擁有「防DDoS系統」。也就意味著阿里雲應該保障我伺服器99.95%的可用性，這其中當然也包括在線聯通指標。而號稱擁有防DDoS系統，也應該意味著用戶被DDoS攻擊後，能夠保證業務正常，而非被斷網下線。阿里雲的互聯網基礎服務提供商，在提供服務之前，應該深知什麼叫契約精神，什麼叫服務質量。互聯網基礎服務最根本保障的就是伺服器的在線率和穩定性。顯然，從我的經驗教訓上，阿里雲沒有兌現商業承諾！
再次，當我伺服器被DDoS攻擊時，阿里雲的網路運維人員應該想辦法屏蔽非法數據，阻擋進行攻擊的IP地址，設置訪問策略，而非店大欺客，簡單粗暴的給付費用戶做下線處理。這就好比：我在你店裡買了一雙鞋，因為鞋磨腳，你不想辦法解決鞋的問題，你採取剁我腳的辦法！雲伺服器不是實體機房。如果我在傳統IDC購買帶寬服務，我可以自行安裝硬體防火牆，配置防火牆規則，但是在雲主機這種虛擬主機上，我以為這部分安全服務應該由阿里雲來提供。之後我向阿里雲提供了多個反覆攻擊我伺服器的IP地址，要求阿里雲提供Band IP的服務，依然令人失望的被告知，對不起，沒有這項服務。
最後，我質詢客服人員，如果有人長時間惡意攻擊我的伺服器，，那麼是不是意味著只要攻擊不停，我的伺服器就永遠不可能恢復？客服人員告訴我：是的。自始至終阿里雲始終沒有提供給我任何有建設性的意見或建議或者解決辦法。簡單而粗暴，讓我再次體會到除了運營商之外的又一個壟斷帝國的嘴臉。
我對我自己只能說：我瞎了自己的狗眼！我以為保障用戶在線率是一個接入和基礎服務商的起碼準則，但是到你們這裡，竟然規則被無視，常識被顛覆。基礎電信運營商限制限制帶寬、限制並發數，這都是能夠接受的，但是下線用戶的設備這不到萬不得已，不會輕易而為之，這是最基本的商業契約。再舉一個例子，如果阿里雲從中聯通、中電信骨幹網接入鏈路，如果因為有DDoS攻擊你們，導致運營商骨幹網也受到影響，假如中聯通、中電信這些運營商不想辦法解決大網流量和路由問題，從選擇直接切斷你們鏈路這種做法，你們覺得這個能夠接受嗎？你們還會作壁上觀、洞若觀火嗎？己所不欲勿施於人！不要因為阿里雲現在是大企業，就店大欺客！
現在，我最頭疼的問題是下一步如何處理和解決當前面臨的問題：
1.我如何才能解決現在的問題？

2.DDoS是否有好的解決辦法？是否除了增大帶寬，增大清洗帶寬才能解決？
3.象阿里雲這種雲主機服務，阿里雲是否應該提供網路安全的服務？如果不提供，付費用戶該如何解決網路攻擊的安全問題？
4.除了選擇阿里雲，我還有其他可選擇的服務質量有量、有責任心的雲主機服務提供者嗎？

流量清洗的成本是很高的，這個真不是阿里的錯。

1.我如何才能解決現在的問題？

對於中小流量的攻擊（30Gb以下），把伺服器託管在阿里雲/xx雲/xx機房，不需要防護，主要是能長期託管、穩定。然後購買具有防禦能力的CDN/IDC機房伺服器，把清洗後的流量返回給你真實的機器。

至於選擇哪些CDN/IDC，避免廣告就不說了，10至50G流量清洗真不成問題，只要你選對服務商，出得起價錢。當然這行魚龍混雜太多，不熟悉的很容易被忽悠。

2.DDoS是否有好的解決辦法？是否除了增大帶寬，增大清洗帶寬才能解決？

唯一的辦法就是把DDoS的流量抗下來，必須具備比攻擊流量更大的入口帶寬和流量清洗設備。

如果是超大流量的DDoS攻擊，除了帶寬和設備，還要有健壯的系統架構，智能、快速的監控和調度系統。也少不了DNS解析和域名註冊商這部分防護。除了技術積累，錢也是嘩啦啦的流水般。

3.象阿里雲這種雲主機服務，阿里雲是否應該提供網路安全的服務？如果不提供，付費用戶該如何解決網路攻擊的安全問題？

看協議，協議寫了提供多少就多少。就算提供也是有限的，否則你一個月幾百幾千塊的一台機器，還要給你提供10G以上的入口帶寬，這生意鐵定虧本啊。

每G帶寬每年成本在15-30萬（不含設備、人力，單單給運營商的），體量小的CDN/IDC聲稱多少防護，有多便宜，是否吹水從這裡大概能算出來。

4.除了選擇阿里雲，我還有其他可選擇的服務質量有量、有責任心的雲主機服務提供者嗎？

基本上沒有哪家雲主機提供DDoS防護的。

其實DDoS的核心問題是發起DDoS的成本很低，而防護的的成本非常高。我所了解的，今年國內應該出現了多起超過200G的ddos攻擊。國內大部分公司都是扛不住的，當然一般沒有深仇大恨或者巨大的商業目的不會發起如此規模的攻擊。不過目前打掛一個普通網站有幾個G就可以了，攻擊成本只需要幾百塊，防護可能需要幾十倍，有的還不一定能防的住。以前我個人的網站被DDOS過，對方就一個G，然後我就被拔網線了。很多IDC出口才幾個G，一打就掛，幾次下來然後他們就讓你搬出機房。貌似阿里雲的提供的防護是5G。樓主被黑洞過，我感覺攻擊你的流量應該超過10G。自從阿里雲公開宣布提供5G免費DDoS防護，國內其他幾家做雲防護的廠商基本上都把DDoS防護的參數給抹去了，不敢正面比較。你可以了解下安全寶、加速樂的參數和價格情況。DDOS確實是目前互聯網非常大的威脅。防護ddos並不是樓主理解的封IP那麼簡單，要封只能在電信運營商那頭在攻擊源頭封這個IP的流量。如果運營商不封，攻擊流量就像洪水一樣湧向你的伺服器地址，IDC及阿里雲是無法阻擋這些流量不湧向他們的。不管怎麼樣，這些流量是湧進了IDC的大院了，接下來的目標是湧向一個門。IDC要麼清洗這些流量繼續讓被攻擊的網站保持正常訪問，要麼黑洞。ddos防護是要在這些洪水裡面分析出那些是正常訪問，哪些是惡意攻擊，而這個清洗能力是有限的，阿里雲提供的是5G，超出太多應該就黑洞了，無限制清洗成本很高也會影響其他阿里雲的用戶。

另外樓主可能誤解了那個可用性了。其實你網站被攻擊的時候虛擬機還是在工作的，只是網路被阻塞了。

建議樓主儘快報案吧，遇到網路流氓沒有太多的辦法。

無論哪家的雲，不可能給你提供高防的，除非那個代理真的錢多沒辦法

所以我發現你不是一般的單純，DDOS攻擊原理你都清楚，為什麼還會來這裡噴阿里呢

如果你只是網站被攻擊，可選的產品有很多了，大多都是走CDN來隱藏真實IP等等，這些產品僅僅適合網站而已，比如360網站保姆、百度加速樂等等

如果是UDP類型，你的IP也不能用上述方法隱藏，那隻能幹瞪眼了，因為UDP的防禦成本真的太高，目前市面上大多少IDC代理的防火牆功能太簡陋，攻擊類型超多，甚至國外DDOS平台，NTP、SSDP等攻擊，也許只需要一月10美金就能打出20-30G流量，如果你要防禦20G，雲的價格就不提了，其他IDC起碼便宜點的一月200美金都不一定防得住（防不住並不一定是流量不夠，也許牆規則不夠靈活不好改導致滲透到主機），這是事實，所以不要指望哪個IDC能給你免費抗多大流量，因為高防本身就是一個獨立產品，高防意味著高成本！

硬防主流的就是金盾、傲盾、ChinaDDOS、NP系列等等

CD：這個就不說了，被坑過，普通路由功能，別指望能防什麼

金盾：集群比較厲害，缺點規則不夠靈活，也不能主動防禦，也許一點點低流量讓你根本下不了手

傲盾：不支持集群，優點是規則靈活，無視10G以下任何變種攻擊，缺點也是只有10G單防

NP：這個概念就比較廣泛了，不具體指哪一款產品，不同產品能力有所不同

唯一最好的就是電信這種運營商級黑洞清洗，至於價格，也只能呵呵了，像騰訊、阿里、百度三大巨頭級的土豪公司才用得起了，小公司就別奢望了，私人的想都別想.....

題外話：這篇文章只是表達一個小站長的想法，並不針對任何公司、產品等，我託管伺服器做私服遊戲起碼快十年，血淋淋的教訓告訴我，唯一的辦法就是以彼之道還施彼身 —— 打回去~~~~

問題提出很久了，其實也早已結束了。答案就是：阿里雲無解，終止合同完事。我們選擇了一家南方電信骨幹節點的高扛DDoS機房，購買兩條100M獨享鏈路徹底解決了攻擊的問題，後續因為攻擊方式轉變為CC，我們又進一步使用了一家免費CDN，最終解決了相關問題。若干月後的今天再來看待這件事，得出幾個結論：1.不要迷信商業宣傳，2.自己的問題自己最了解，與其病急亂投醫，不如花功夫好好提高自己技術能力找到問題的根源再有的放矢，3.商業公司的本質是盈利，如果你的麻煩大於價值，很有可能被拋棄，不要報幻想認為某某國內領軍互聯網巨頭會放棄利益去協助你，你充當你的保姆，在商言商，不要被商業宣傳所洗腦！

希望我的答案能給一些至今仍在水深火熱之中的兄弟一些啟迪！不要幻想某位大神會精力無限的充當義務雷鋒救你於水火之中，大神們的技術不是廉價的，是具有高價值的，他們不會將精力投入無謂的事件當中，請理解。弱者沒有權利譴責，叢林法則，天佑自強者！

我本身並不想指責阿里巴巴這家公司，但我對其提供的商業服務的品質不敢苟同，僅此而已。

業內人士告訴你，阿里雲的意思是讓你買他們那個幾萬每月的收費雲盾。

不然在你身上要虧本，換我我也想把你這樣的客戶給拉黑。

無法忍，卧槽你們這些回答的都沒聽過網站衛士嗎？能防260G好嘛~

1.我如何才能解決現在的問題？

其實樓主說的問題，說白了就是阿里雲沒有提供售後技術支持，那麼可以採取的方法無非就是換商家或是升級產品服務。

2.DDoS是否有好的解決辦法？是否除了增大帶寬，增大清洗帶寬才能解決？

按我的經驗，如果你的伺服器是經常被攻擊的，有兩種方法可以解決：

第一種：最好的方法是增大高防IP的防護帶寬流量來抗D，如果是偶爾被攻擊，那麼可以在原來高防防護帶寬的基礎上開啟彈性峰值帶寬，具體開啟多大可以根據你的伺服器被攻擊的平均流量來算，這樣只有你的伺服器被攻擊時有個最大的彈性帶寬峰值可以防護你的網站。

第二種：就是你的伺服器IP可以考慮開啟多個，如果一個伺服器IP被攻擊宕機下線了，可立即切換到另一個伺服器IP上，畢竟黑客攻擊你的網站查的是IP，如果你有設置當前IP宕機後一鍵切換到另一個IP上，黑客不可能那麼快查看你另外一個IP的，畢竟你的伺服器上有高防IP，有隱藏你的源站IP的功能，一個被查攻擊，不可能短時間內多個IP被查的，而且黑客攻擊資源也是要錢的，他們也得考慮是否繼續攻擊

3.象阿里雲這種雲主機服務，阿里雲是否應該提供網路安全的服務？如果不提供，付費用戶該如何解決網路攻擊的安全問題？

至於這個問題還真不好說，還是得看之前你在開通產品時的服務條款協議里有沒有包括售後提供安全服務，如果協議裡面有提供那阿里雲就應該執行。

如果沒有提供，那麼站在整個網路安全問題上來講，一個網路平台安全，不只需要開啟抗D攻擊、抗CC攻擊服務，也需要最基礎的防域名劫持攻擊，以及伺服器本身WAF防火牆也是必要的，整個平台的要安全必須是多點防護，而不是單點防禦。

4.除了選擇阿里雲，我還有其他可選擇的服務質量有量、有責任心的雲主機服務提供者嗎？

阿里雲就像你自己說的，其實有些店大欺客了，就目前互聯網來看，服務質量保證也有售後服務支持的還是有幾家的，你可以上網查查，多方比較一下

轉自tomsinsight：

A哥從事DDoS敲詐勒索快10年了，依然生存在互聯網地下產業鏈黑市中，不得不說這個行當的持久性。「這是一個最好的時代，也是最壞的時代」A哥對我們TOMsInsight的調研分析師，用這樣一句文藝范十足的話做開場。「說了你都不信，現在互聯網創業很少賺錢，也很少有以項目賺錢為目的的，大多都是騙投資。我DDoS他們，他們還問我要發票，還要多開點；有的還讓我發個PPT介紹攻擊防禦成本，好去給投資人彙報要錢交差。唉，我有點跟不上時代了。」

「稍微大點的能賺錢的公司大家也都熟悉了，定期多少錢相安無事，也很穩定。不過好像市場也就那麼大。我現在開始考慮轉型，接點同行攻擊的單子了。這些創業公司被敲詐後，一般都想讓我們攻擊同行。唉，江湖以及不是那個江湖了，亂了，全亂了。」A哥的話也能從另一個角度反映出目前互聯網創業的浮躁和青澀。甚至DDoS敲詐勒索行業本身，都被影響。

ps，其實和任何一個行業一樣，互聯網行業的門檻也很高，並不是大多科技媒體所宣傳的那樣。只是這幾年行情太好，讓太多不知深淺的逗逼入場了。

找個高端的黑客，黑掉調度DDos肉雞群的伺服器

其實啊我覺得這事兒前面的幾個回復的也不要太去怪樓主阿里雲吹牛在先把牛吹上了天了出了事兒了又說這個事情搞不定沒有金鋼鑽就不要瞎攬瓷器活兒啦

不知道您這邊還受到ddos的攻擊困擾么？現金有很多防護措施了！

說白了就是你花幾百塊一個月買的伺服器人家阿里雲就根本看不上你，典型的店大欺客嘛，因為你是小客戶，對方自然不會太上心，類似的吐槽我見過很多，阿里雲對這類用戶的處理方式都是一樣的，見怪不怪了，不止阿里雲這樣，騰訊雲、百度雲、華為雲都一樣，所以選擇小的IDC商也不是不可以，至少人家把你當客戶看，你有問題人家會親力親為。

我也一直被DDos，簡直無解

莫名其妙的到這個帖子上了。

其實被打是很正常，DDOS經常成為反「反不正當競爭法」的利器啊，阿里採用高防的方式攔截，封頂應該是300G，隨便海口說能大幾百G的，要看看是真實力，還是真噱頭。

網站的業務如果真被打到這種程度，一般都是博彩或者其他什麼暴利的行業，小公司也扛不起，如果流量小的話，普通機房就能扛下來。

阿里的服務業不錯，價格是貴，其他很多打出的安全X，不論宣傳的多好，銷售怎麼和你要慎重相信，你要知道他們真的有資源！經常是拿你的去和能抗的公司簽合同，然後轉一手交給他們做，之前待過一家公司公司就是這樣，只會造勢騙人，融資融再多，也不做正事，天天燒錢做市場，網路雖然言論自由，但是也不能直接重傷他人，畢竟每個公司成長都是不容易。

所以，真要防，你要了解他確實有這個能力，像阿里真槍有高防，網宿有節點。

阿里雲的機器一般自帶防禦很小，如果照你這樣說的也不怪別人，畢竟你自己沒有買人家這個服務，只是把數據放在伺服器上，別人又怎麼會給你防禦，再說說阿里雲的防禦套餐，你確定用得起？現在的方法就是換台機器，或者用CDN防禦，成本根據自己的情況3002957003

換個服務商吧，阿里雲真心坑

首先，心疼提問的人兩分鐘。。。

看你寫了那麼多，個人覺得你可能更多的應該去控訴攻擊你的人，而不是服務商。當然了，可能你覺得連對方是誰都不知道，說再多也沒用，給阿里雲點「壓力」說不定他們還能給想想辦法是吧？

據我所知，幾乎所有的服務商在處理你這樣的問題的時候都沒有太好的辦法，基本上都是把你拉到黑洞裡面，過段時間再放出來，再超再拉。。。至於你舉的那個例子：「如果阿里雲從中聯通、中電信骨幹網接入鏈路，如果因為有DDoS攻擊你們，導致運營商骨幹網也受到影響，假如中聯通、中電信這些運營商不想辦法解決大網流量和路由問題，從選擇直接切斷你們鏈路這種做法，你們覺得這個能夠接受嗎？你們還會作壁上觀、洞若觀火嗎？」我想恐怕你說是非常貼近現實的，電信運營商真的會這麼干！

這不是什麼鞋不合適就削你的腳這樣的事情，因為鞋不合適就砍你的腳這的確是非常的過分，誰都不能忍。可是問題在於你被大規模的DDoS攻擊的時候不放棄，有可能會連累整個機房上的成百上千的網站被別人砍掉。這只是一種非常無奈的選擇，相信服務商也希望自己的客戶能穩穩噹噹的服務大眾，無奈你不知為何惹了一群馬蜂。

另外我好奇他們沒給你推薦他們的DDoS高防IP產品嗎？支持防禦DDoS，集群1000G+防禦，線上單線支持300G。基本上不是那種超級DDoS攻擊都夠了吧？當然了，這服務死貴，還好我沒用的上過，不過想想貴也正常，「勞動密集型」服務啊！

好吧，扯那麼多沒用的，來說說重點，怎麼解決這個問題。

首先，我建議你先審視一下自己的網站，有沒有什麼地方觸及了別人的重大利益，有沒有得罪什麼人？畢竟長時間的對你發起DDoS攻擊也是需要消耗很多資源的。如果確實沒有捅到別人的馬蜂窩，再想想別人費勁心機攻擊你能得到什麼好處，你的服務不可用的時候他能有利可圖嗎？如果基本能確定是誰和你有點過節，嘗試去溝通一下。

實在不行，你也可以報警，DDoS的人也會多少露出點馬腳的。。。

DDOS沒什麼特別好的方法，基本都是砸錢帶寬抗，被盯上了基本就是虧出血。阿里雲可以抗到500G，但是看你逃不掏得起那個錢。

雲伺服器不該有硬體防火牆嗎？要用戶裝軟體防火牆去防禦攻擊這個邏輯是雲服務？

今天也遇到了這個問題了，給阿里雲那邊提交工單絲毫作用沒有，反正你不花幾萬塊買一個什麼防禦套餐，你被DDOS了也就是只好等待而已。