🇨🇳
假墙攻击方法大全及解决方案
官网:http://gfwvip.com 客服:https://t.me/GfwVipBOT Telegram群: https://t.me/HostCLi
如果自己没有技术能力判断,请发给客服免费协助排查: @GfwVipBOT

以下均为 GfwVip.com 团队实践 假墙攻击&假墙防御 & GFW真墙域名&GfwVip穿墙技术 所得到的一手技术实践;

什么是假墙攻击?

  • 假墙攻击是2021年3月左右出现的一种攻击技术,主要是利用、触发GFW的临时封禁策略,致使境外IP被临时封禁。
  • 该攻击方法主要被一伙广告联盟的人(烈马团队),利用来敲诈勒索、或强迫有流量的网站、国内搜索引擎中有SEO排名流量的站点接入他们的广告JS;(注:JS本身除了可以任意添加更多广告、获取用户隐私,还能直接将访问网站的用户劫持跳转去其他网站,这是所有中小广告联盟的惯用伎俩)。
  • 敲诈勒索手段主要是通过被攻击网站域名的统计中的来源refer、或主动联系站长等方式,告知被攻击者即将被关闭网站,如需解封请联系勒索人的Telegram账号;留其他联系方式的基本可以判定不是源头攻击方。

假墙的具体技术表现

从2021年4月开始,GfwVip.com 的客户持续遭遇假墙攻击,我们使用假墙攻击、自行搭建各种防御措施等,尝试了多种方法实践,发现假墙攻击具有以下特点:

假墙攻击的表现

  • 可以不直接访问被攻击服务器,即服务器上 并未出现 日志、流量、并发 等统计异常;GfwVip团队实测 阿里云、腾讯云 香港服务器的官方统计数据无异常波动。
  • 可能夹杂DDOS、CC攻击,导致只具备基础防御的服务器被攻击至断网;阿里云、腾讯云等服务器的保护机制均为断网 N小时~24小时。

发起假墙攻击后多久可以墙掉境外IP?

  • GfwVip团队实测:从发起假墙攻击,且使用国内DNS解析商的情况下,触发GFW临时封禁,致使全国所有地区、节点封禁目标境外IP,最快只需要3~4分钟;该测试使用 DNSPOD域名解析 + boce.com 每分钟一次全国范围的http监测
  • 域名解析的IP较多,或使用了拥有较多IP的CDN服务,GfwVip团队实践:50个IP 可以在30分钟~1小时内全部封闭;

假墙攻击会持续多久?

  • 如果不持续攻击,单次GFW封禁周期大约2~4小时,之后会自动解除封禁;本测试使用 阿里云云拨测 国内节点 每分钟一次监测;

怎么判断是否被针墙或假墙攻击?

我们尝试了很多方案,并对系统进行了各种修改,经过几个月的大量实践发现,有一些方法方案可以抵御假墙攻击但并没有一个真正可以完全抵御的方案
  • 因为被攻击的网站除了被假墙攻击,还可能夹带DDOS、CC攻击;即便是使用国内服务器 如:阿里云、腾讯云,一样可能会被DDOS、CC打到断网24小时,需要购买其上万元甚至更贵的防御
  • 如果你的网站频繁出现 甚至 长时间的无法访问,自查发现 域名解析正常、WEB服务正常、国外访问正常(国外HTTP测速)、域名没有被墙也没有被污染,但是服务器的80端口无法访问,那么基本上是受到了GFW真墙屏蔽 或 假墙攻击。
  • 检测网址:检查国内访问情况以及域名是否被墙、被劫持,DNS是否被污染。
    • https://www.boce.com 网站测速(HTTP测速)
      • 状态 一列 非000状态 均为正常;
        • 如果使用CloudFlare、CDN等多IP业务,出现个别IP全国都不通(不是所有IP被墙),则可能是共用该IP的其他域名受到了假墙攻击导致共用IP被墙,并非本站受到攻击。
      • * 表示 域名未解析服务器IP无响应
      • 127.0.0.1其他非自己服务器IP的境内IP 表示该地区该运营商劫持了该域名,需要找运营商申诉,或放弃该域名不再续费使用;
      • 如果 大多地区无法解析解析到 FaceBook Google Twitter等国外IP,则为污染,基本无解,需要走监管部门会议流程申请、审批;
    • https://www.dnspod.cn/tech/ 80 443 端口检查
    • https://www.17ce.com/ 下载异常* 即无法正常访问网站;
  • ⚠️ 如果自己没有技术能力判断,请发给客服免费协助排查: @GfwVipBOT

GFW真墙屏蔽 与 假墙攻击的区别

网站解析到任意境外IP后,马上使用 boce17ce get 全国节点,进行多次测速,始终是无法访问,返回 000 状态,基本就是GFW真墙屏蔽;
网站解析到任意境外IP后,马上使用 boce17ce get 全国节点,进行多次测速,新的境外IP返回 200 状态,之后持续检测 会在 200状态、000状态码之间变化,或者 持续为200状态码,则可能是被假墙攻击触发了GFW临时封禁了该境外IP。

防御假墙攻击的方法

1、使用国内服务器IP:

GFW设计的初衷是为了 拦截境外IP 的网站及内容,国内到国内的线路访问不走GFW;
使用国内服务器需要域名备案,且防御成本较贵。

2、[推荐方案] 域名使用DNS轮询解析+多IP。

GfwVip经过大量实践,目前客户采取较多的方案是:购买我们的服务器+购买额外的IP+DNS解析轮询
如果IP在60个上下,GfwVip团队实践发现约30分钟左右即可在全国所有运营商中全部墙完60个IP;所以需要采购至少100个以上的IP+策略来实现轮询;

3、被假墙攻击的域名套上CDN。

业内不存在抗假墙CDN,只有上更多的IP硬抗的CDN,费率及机房成本很高;不如直接购买服务器+购买额外的IP+DNS解析轮询,成本相对可控且更便宜;
最近更新 4d ago