题记

近几年，大量国内企业上云，很多传统制造型企业开始借助互联网营销，但相当一部分缺少经验，这里就讲一个某主板上市公司搞抽奖活动被cc攻击的案例。

周末，一个多年前的程序员同事突然电话给我，火急火燎的样子。他描述，一个PHP的站点，某个目录断断续续能访问，而其他页面都正常。如果将这个目录改名，又恢复正常访问。

我于是先提示他去看下IIS和Windows的日志。

这个电话接完，电话又响了，是一位阿里云上的客户，居然描述的是同样的情况，我就问他这个目录下的页面是不是某某人开发的。。。

巧了，两人说的居然是同一件事情，我这个前同事接了私活，给我这位用户开发了一个线上抽奖的小程序，基本环境是Windows2008+IIS+PHP+MySQL。

攻防由此拉开帷幕

程序员就是程序员，对运维很多时候也是一脸懵逼。

让他去看日志，貌似是找不到地方，算了，我自己上去看吧，本来就是大客户，我是逃不掉了。

检查了系统运行的状态，负载尚可，但大量的php-cig进程，于是优化了IIS里cgi的配置，居然好了，前同事连声道谢。

本来以为事情就此结束了，事实是才拉开一角。

一会，电话又进来了，那个抽奖页面又挂了。

到阿里云后台看了下云监控，很奇怪time_wait这项数值非常高，但都是在mysql上的

于是开始分析日志，找了个工具，吧iis日志拉下来分析了下（不要在服务器上跑，会卡死的）

一看吓一跳，大量的访问都是归结到了抽奖程序的几个页面

举个例子，某个IP，在40分钟里访问了抽奖页面41万次之多

于是怀疑有人恶意攻击和刷奖

因为当时那个公司的策划也不太懂互联网营销那一套东西，居然抽奖的流程是先抽奖，再注册登记。。。我也是醉了

而且没有验证码的机制

让他们改流程，先注册，后抽奖，就是不愿意

那就先让同事加了个验证码抽奖的功能

但是似乎效果不明显，cpu居高不下，动不动网页就卡死，而且这个抽奖跟他们官网还是共用一台服务器，总不能老是重启iis吧

思来想去，既然有攻击，那就得上防护，不能单纯优化

于是装了个安全狗的网页防护，把所有安全防护全开，在日志里能看到大量的cc攻击

防护一开，瞬间cpu降低，网页流程了

于是大家松了口气，以为就此搞定了

好景不长，也就两三天时间，CPU又满了，time_wait暴涨，安全狗已经没效果了

怎么办，我的电话又被打爆了

思来想去，免费的waf‘不行了，只能花钱消灾了

逼近是促销，花了那么多钱，用户也不在乎那点买阿里云WAF的钱了

下单--付钱--配置阿里云web防火墙--修改CNAME--等待解析生效

在焦急的等待中，事情终于开始向好的方向发展

阿里云的web防火墙拦截到了大量的cc攻击，同时也拦截和提示了其他很多web攻击

（估计有人要说我给阿里云打广告了，呵呵）

经过我的测试，在没有开启阿里云web防火墙的情况下，即使服务器有16个内核，也无法抵御cc攻击，开启iis的瞬间，服务器的cpu就会跑满

终于，用户、我、老同事安稳的度过了这次促销，前天他们又开始了下一轮的抽奖活动

上周我还被用户拉过去焖了一顿酒

暂且写道这里吧，后期可能会写写微软的Azure，用户的某个大项目一部分已经在上面部署，一部分开始在上面规划

我也暂时出差，去给某个空调企业实施服务器虚拟化项目