10月1日下午，discuz論壇一臺服務器（server4）開始出現(xiàn)異常的高負載情況。首先是自動觸發(fā)了自動擴容機制，增加了新服務器進來分擔壓力，保障了服務的持續(xù)可用，給問題解決爭取了時間窗口。

隨后手機收到告警短信，登錄騰訊云控制臺，首先排除了DDOS，因為外網(wǎng)入帶寬和出帶寬都正常。異常的是內網(wǎng)出帶寬和入帶寬。難道有內網(wǎng)的服務器發(fā)起攻擊？

登錄到服務器上來看，top沒有看出什么異常，沒有特別高的進程，php-fpm進程確實多了一些，每個進程的cpu時間也確實長了一些，但是也不說明什么問題?？碼ccess_log也沒有看到ip聚集的請求。

懷疑服務器本身有異常，把服務器重啟了一下，問題沒解決。

把出現(xiàn)問題的服務器（server4）從負載均衡中踢出，問題立刻消失。加回到負載均衡集群中，問題沒有再出現(xiàn)了。

隨后發(fā)現(xiàn)，另一臺原來沒有問題的服務器（server1）現(xiàn)在變成高負載了。一樣從負載均衡中踢出來再加回去，這下兩臺都高負載了。

沒有什么頭緒，只好繼續(xù)分析access_log。這次看出來問題了。

有一批來自世界各地的肉雞（也可能是偽造的ip）在根據(jù)用戶ID一個一個的訪問用戶資料。這些ip都來自哪里的呢？

所以問題很清晰了，這是一個CC攻擊，并且攻擊ip是分散的，不能通過封ip來化解。

攻擊者借助代理服務器生成指向受害主機的合法請求，實現(xiàn)DDOS和偽裝就叫：CC(ChallengeCollapsar)。

對于CC攻擊，discuz是有對應的設計的，可以在config_global.php中配置，不過對抗手段都會或多或少的影響到正常訪問。針對這次攻擊我啟用了 $_config['security']['attackevasive']=4

也就是要求每個用戶第一次訪問的時候都要看一個2秒的等候頁面，然后自動進入原來的訪問地址，這是目前對于用戶訪問體驗傷害最小的方式（用戶什么都不用做，只要第一次等2秒就一切正常了）。如果CC攻擊沒有繼續(xù)升級對抗這個策略的話，這次攻擊應該就到此為止了。

稍晚的時候服務器CPU又滿了，對方使用了使用了更多的肉雞，大量代理IP涌入了服務器，導致論壇再次無法打開，怎么辦呢？

只能購買防火墻了，買騰訊云防火墻的話不現(xiàn)實，價格太貴，一個論壇，又不盈利沒必要。再三思考下，只有用百度云加速了，百度云加速是百度與國外知名DDOS防護廠CloudFlare合作的一款集成網(wǎng)站加速、安全防護的產(chǎn)品，價格還算符合大眾，官方最便宜的版本也就2490元/年，我是直接找他們代理主機吧購買，價格便宜將近一半。

接入后直接啟用強力防護模式，

觀察將近1小時左右，終于徹底解決了！

?