假墙攻击是2021年3月左右出现的一种攻击技术,主要是利用、触发GFW的临时封禁策略,致使境外IP被临时封禁。
假墙攻击目前较多的为部分广告联盟为强迫使其站点接入他们的广告,或专门做敲诈勒索的团伙。
如果不持续攻击,单次GFW封禁周期大约2~4小时,之后会自动解除封禁;
怎么判断是否被针墙或假墙攻击?
如果你的网站频繁出现 甚至 长时间的无法访问,自查发现 域名解析正常、WEB服务正常、国外访问正常(国外HTTP测速)、域名没有被墙、也没有被
污染,但是服务器的80端口无法访问,那么基本上是受到了GFW真墙屏蔽 或 假墙攻击。
检测网址:检查国内访问情况以及域名是否被墙、被劫持,DNS是否被污染。
https://www.boce.com 网站测速(HTTP测速)
状态 一列 非000状态 均为正常;如果使用CloudFlare、CDN等多IP业务,出现个别IP全国都不通(不是所有IP被墙),则可能是共用该IP的其他域名受到
了假墙攻击导致共用IP被墙,并非本站受到攻击。
*表示 域名未解析 或 服务器IP无响应;
127.0.0.1 或 其他非自己服务器IP的境内IP 表示该地区该运营商劫持了该域名,需要找运营商申诉,或放弃该域名不再续费使用;
如果大多地区无法解析 或 解析到 FaceBook Google Twitter等国外IP,则为污染,基本无解,需要走监管部门会议流程申请、审批;
https://www.dnspod.cn/tech/ 80 443 端口检查
https://www.17ce.com/ 有 下载异常 和 * 即无法正常访问网站;
GFW真墙屏蔽与假墙攻击的区别
网站解析到任意境外IP后,马上使用 boce 或 17ce get 全国节点,进行多次测速,始终是无法访问,返回 000 状态,基本就是GFW真墙屏蔽;
网站解析到任意境外IP后,马上使用 boce 或 17ce get 全国节点,进行多次测速,新的境外IP返回 200 状态,之后持续检测 会在 200状态、000状态
之间变化,或者 持续为200状态码,则可能是被假墙攻击触发了GFW临时封禁了该境外IP。
防御假墙攻击的方法
1、使用国内服务器IP:
GFW设计的初衷是为了 拦截境外IP 的网站及内容,国内到国内的线路访问不走GFW;
使用国内服务器需要域名备案,如果需要国内高防服务器,可以联系客服开通。
2、被假墙攻击的域名套上CDN。
业内不存在抗假墙CDN,只有上更多的IP硬抗的CDN,可以临时解决被假墙问题。