当日16 时 52 分 14 秒,Cravatar 首页(https://cravatar.cn)遭受到约 20000 QPS 的 CC 攻击,导致原站瞬间超载,返回502状态码,随后主 FRP 服务器上的 frps 服务端也一并因严重超载而挂掉,至此源站失联,除部分单独部署的服务外,所有服务全部挂掉。
16 时 56 分,接收到阿里云服务监控发送的宕机通知,为应急考虑,部分服务手工切换了备份方案(比如 C 头强制返回 Gravatar,应用市场跳转 wordpress.org)。
17 时 2 分 12 秒,攻击停止,但因为攻击者仅消耗了极少数的流量,未能触及 CDN 警报阈值,所以此时仅知道源站宕机,未知是由于 CC 导致的服务崩溃,故此时所有的怀疑都在于源站是否出现硬件故障、断网、断电之类的情况。开始联系人排查。
17 点 56 分,又拍云合作专员通过微信联系我们告知攻击情况,自此才知道此次宕机是由于 Cravatar 遭受 CC 导致:
18 时 13 分左右,经过调试,访问恢复。
19 时 53 分,LitePress 社区首页(https://wenpai.org)再次遭到约 500 QPS 的攻击,但因为攻击量较小,并未使服务崩溃,仅占满了源站带宽。
20 时 13 分,攻击停止,访问随即恢复。
在此之前,我们已经遭受过数次网路攻击,本次攻击老实说规模并不大,主要是因为我们阴差阳错的判断失误才导致的宕机了一个多小时。