杜郎俊赏 - dujun.io

应对 DDoS 攻击的防御策略

1. 背景 本站部署在腾讯云,并使用了云盾CDN。本月到现在被 DDoS 攻击两次,造成总停服时长 12 个小时。 10 月 5 号,详见:《被 DDoS 攻击导致封停了六小时》 10 月 20 号,详见:《这个月第二次被 D 了》 2. 攻击分析 攻击者应该是很熟悉腾讯云的,使用 UDP Flood 攻击,每次只攻击两分钟,攻击带宽峰值远高于腾讯云的基础防护 2Gbps。 攻击开始后立即引起腾讯云的 ip 封堵,腾讯云的理由是: 通常发生大流量攻击时,运营商考虑网络稳定性因素会进行封堵,从而避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定。 两分钟的攻击就可以造成 6 个小时的封堵。找腾讯云客服咨询,购买高防产品才可以自助解封,否则只能等待到期后自动解封。 3. 官方策略 咨询腾讯云客服,给出了两套策略。 3.1 购买高防产品 客服给出的第一个建议就是购买高防产品。但作为个人网...

2022-10-21

1051封面
好想到这种地方去放空,逃离这苟且的生活。

2022-10-20

这个月第二次被 D 了

1050封面
又是摸一下,封 6 个小时。还是没一点办法。 不过这次修改了云盾的 502 页面,不像默认页那么难看了,而且留了联系方式,算一点点改进吧。 想知道攻击者家人都还好么。

2022-10-20

JavaScript 强混淆

我的网站是纯内存缓存读 + js 渲染 spa,现在的瓶颈就是硬件配置低、带宽小,程序架构上可以说追求到极致了。其中,js 渲染是全站性能优化的关键一坏,服务器只负责吐出原始数据,而把路由解析、数据处理、布局渲染的计算压力都转嫁给了浏览器。 如此重要的前端部分我当然花了很大的心思。js 是明文的,只能做混淆。但是如果混淆得足够好,逆向成本过高,也是可以达到很好的代码保护。网上有很多 js 代码混淆的方法可以参考,但有些会让文件大小增加好几倍。这里我分享一下自己 js 强混淆的思路。 我实现 js 强混淆的关键一点就是字面量表达式。 原生写法: str.trim(); 字面量表达式: str['trim'](); 有了这个基础,混淆要做的就是进一步隐藏字符串了。我用了 ASCII 转码和 base64,使得字符基础变量简化为 64 个 base64 编码字符,以及特殊的空格和换行符。 以“我...

2022-10-19

互访功能页性能优化探索

我的主力电脑是 4 核 i7 16G MacBook Pro,所以我用互访功能页开几十个页面是没压力的。收到有些博友反馈打开页面太多电脑卡死,我并不能理解。直到昨晚,我找出 2 核 i3 4G 的笔记本跑了一下,果然卡。因此有必要对互访的性能做进一步优化了。 理想的逻辑是,一次只打开 5 个页面,其他在队列中等待,每加载完一个网站,关闭当前页,打开队列中另一个网站。这样浏览器同时最多只会存在 5 个页面占用。但尝试了一下,这个方案目前无法实现,因为跨域问题。 一、窗口对象 直接用 window.open 对象,无法监听加载状态, onload 会发生跨域错误。 二、iframe 嵌入 iframe 可以 onload 监听目标网站加载状态。但问题是,如果目标网站设置禁止被嵌套,就无法访问,但也返回加载完成,这样无法正确判断网站实际上有没有被打开。 目前没有找到解决办法,只是逻辑上调整了一下...

2022-10-19

Bing 终于给我收录了

1047封面
刚查了下,Bing 终于有我的收录了。 之前一直不收录,给官方写信得到的答复是Things to Avoid 包含的条例: Cloaking is the practice of showing one version of a webpage to a search crawler like Bingbot and another to regular visitors. Showing users different content than what the crawlers see may be seen as a spam tactic and could be detrimental to your website's rankings, leading your site to be de-listed from the Bing index. Websites should...

2022-10-17

下载无水印抖音/快手视频

download-source-videos封面
推荐一款宝藏 app “小工具集”,提供非常方便的图片、动图、视频、音频和压缩文件处理。 App Store 地址:https://apps.apple.com/cn/app/id1598039450 然后我发现它可以非常方便地下载抖音、快手等平台无水印的源视频文件。操作非常简单,以抖音为例:在抖音中分享至“小工具集”完成解析,选中无水印的视频,下载到相册。 具体操作步骤如下: 一、在抖音中分享,选“更多分享” 二、在列表中选中“小工具集” 三、等待“小工具集”完成解析 四、选中源视频下载 另外附上视频演示:

2022-10-17

党的二十大

20th-cpc-national-congress封面
[附件] 习近平指出,从现在起,中国共产党的中心任务就是团结带领全国各族人民全面建成社会主义现代化强国、实现第二个百年奋斗目标,以中国式现代化全面推进中华民族伟大复兴。(新华社) 习近平:建设现代化产业体系,坚持把发展经济的着力点放在实体经济上,推进新型工业化,加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。(央视新闻) 习近平:解决台湾问题是中国人自己的事,要由中国人来决定。我们坚持以最大诚意、尽最大努力争取和平统一的前景,但决不承诺放弃使用武力,保留采取一切必要措施的选项,这针对的是外部势力干涉和极少数“台独”分裂分子及其分裂活动,绝非针对广大台湾同胞。国家统一、民族复兴的历史车轮滚滚向前,祖国完全统一一定要实现,也一定能够实现!(央视新闻)

2022-10-16

互访功能页增加了自动关闭设置

1044封面
默认勾选自动关闭打开的页面。 另外加了未设置允许弹窗的提示。

2022-10-14

数据安全警示

博友林羽凡最近遇到糟心事,硬盘损坏,1T 的数据可能丢失——《数据恢复,我已经不抱希望了》。 这种痛苦可以感同身受,也是给我们非常重要的数据安全警示。其中,代码没有异地备份我觉得特别可惜。 这个世界上没有什么东西是完全可靠的,更不用说物理意义上的可靠,万事万物都会消亡的。我之前也遇到过好几件莫名其妙的事情。小的来说,常用的 U 盘突然不能用了,幸亏有备份;大的来说,就发生过一次危险,开车过程中电瓶突然烧了,最后叫了救援。 作为开发来说,代码是最重要的资产。我对代码的备份是非常看重的,做了多重保障: 随时提交代码,改一点就提交 多台电脑上定时打包源代码,做冷存储 在不同的网站建仓库,做多地容灾 服务器每天定时备份代码和文件 服务器每天打快照 希望大家都养成备份的习惯。数据的意义远大于机器。

2022-10-14

分页: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18