StackExchange–关于正在进行的DDoS攻击和阻止Tor出口节点的更新

2022-02-21 11:30:50

在过去的一个月里,堆栈溢出受到每周DDoS攻击的打击,攻击的规模和范围逐渐扩大。在每一次事件中,攻击者都在改变他们的方法,并对我们的对策做出反应。最初,我们能够在发现任何性能下降之前检测并缓解攻击,但最新的攻击迅速升级,网站在我们做出反应之前就被关闭了。

虽然我们无法深入了解每一次攻击的细节,以便维护OPSEC,而不是向攻击者提供信息,但我们可以说,每一次攻击都使用了不同的IP地址,针对的是网站的不同方面。在停机期间,我们的首要任务始终是让站点恢复运行。交通稳定后,我们会对事件进行尸检,评估并改进我们采取的行动。

在上周日的停机期间,我们注意到大量DDoS流量来自Tor出口节点。阻止Tor出口节点的决定并非易事;事实上,我们讨论补救方法时,我们的首席技术官特蕾莎正在通话。由于攻击的持续性以及我们希望尽快恢复站点的愿望,我们决定阻止所有DDoS流量端点,包括这些Tor出口节点。

我们既没有瞄准目标,也没有打算阻止Tor的所有交通;斯塔克从来没有这么做过。然而,由于Tor出口节点的共享性质,其中一些节点还将DDoS攻击路由到我们的站点,并被阻止。我们已尝试在攻击之间移除这些块,但由于DDoS工作继续源自这些出口节点,此操作已导致进一步的站点中断。不幸的是,阻止Tor出口节点也会阻止合法用户使用它们。对于发现自己被屏蔽的用户,一个直接的解决方案是通过家庭互联网、工作互联网或其他VPN服务从其他IP地址访问我们的网站。

我们正在继续评估情况,并将不断更新我们的社区。谢谢你的耐心和理解。

在接下来的几天里,随着我们进行一些测试,您可能会看到Tor访问能力有所改善。这些变化可能是暂时的,这取决于一切的进展。随着形势的发展,我们将继续向每个人通报最新情况。

昨晚又有一次DDoS攻击短暂影响了该网站;我们能够测试我们所做的一些更改,我们很高兴地报告,没有任何DDoS流量来自Tor。

43不是我';我明确表示不同意,甚至受到这个决定的影响,但您对Tor上使用堆栈溢出的合法用户的缓解措施是。。。与用户为什么会首先利用Tor完全相反。。。

@Makoto那';这绝对是真的,我们也有这种感觉。然而,现在的选项是:阻止出口节点,或取消阻止它们,我们得到DDoS';d/每隔几天下降一次。不幸的是,答案(至少目前)是显而易见的。Tor网络上的一个或多个坏演员:(

@Makoto——不幸的是,如果Tor会被这样虐待,那么它';多年来,它将面临与开放式邮件中继和许多其他项目相同的问题(可能也是同样的命运):正当用户将受到欺骗,因为世界其他地方试图保护自己免受一群坏演员的伤害。你在大多数';对所有人开放,不受限制';项目——糟糕的演员滥用一件东西,以至于它被修改到可以修改的程度';不要使用它(让它变得不那么有用),否则它就会完全消失。

我不知道Tor exit节点聚合了足够的带宽,可以通过它们进行严重的DDOS攻击。

我们不想永久阻止Tor出口节点,有1246个已发布的端点:检查。托尔项目。组织/出口清单。我们';我们正在积极制定解决方案,但可以';我不做任何承诺。

@哈尼:不,不,它';就像我说的-我不';我不反对。阻止Tor出口节点是防止DDoS攻击的合理缓解措施。它';只是你';对那些使用Tor作为OPSEC规则的一部分的用户来说,要做他们从来没有考虑过的事情。对DDoS的缓解没有任何异议,但让';现实一点——如果某个合法用户只通过Tor访问Stack Overflow,那么他们';我们不会为了访问这个网站而神奇地改变操作安全。

你有关于你有多少合法流量的数据吗';你曾经收到过Tor用户的来信吗?我';我很想知道这会影响1%的用户还是0.0001%。

@使用Cloudflare的cocomac对Tor用户的影响几乎与完全屏蔽Tor一样;他们的防DDOS墙是一场可用性噩梦(尽管他们显然试图缓解它),it';它让我无法访问不止一个网站。那';当我';我没有使用Tor;我听到了';这对Tor用户来说更糟糕(对于不使用Tor浏览器的Tor用户来说完全不可用)。

Fastly怎么了?它们在堆栈溢出服务器前面,对吗?韩元';他们为什么不停下来?

只是一个想法,但是否有可能阻止Tor的交通。com页面就像你现在一样,但是你可以自己操作。洋葱Tor链接,就像Facebook一样,Tor用户和只有Tor用户可以访问堆栈页面。我想,这需要进行一些重新设计才能让一切正常运行,但这将是过滤Tor流量的长期解决方案,因此Tor节点只能对自身造成损害。但不确定这在实践中是否合理。

我认识至少一个真正的用户';s使用SE和贡献——他';他是一个在他的领域非常有知识的人,他用tor来保持匿名。他让我很恼火,但我觉得更让我恼火的是,他受到了附带损害

在上次大修期间,Fastly#39;s的服务器停机、堆栈溢出和许多其他网站停机。在那段时间里,我在Twitter上看到一条推文,说他们将临时将流量直接路由到后端堆栈溢出服务器。我猜这是一种他们没有';我别无选择。

Fastly自己说,他们在这里抵御DDoS攻击。(也许这需要一个单独的计划?)。它们似乎没有减轻对堆栈溢出的攻击。

所有这些似乎都表明,攻击是直接对堆栈溢出发起的#39;s服务器';IP地址(不需要快速介于两者之间)。

8.如果您覆盖DNS解析,直接转到堆栈溢出源IP,它可以工作,并且您可以正常使用该站点,尽管有teststackoverflow的TLS证书。通用域名格式。虽然隐藏原始IP会很困难(只有512个IP被委托给SE的网络,即AS25791),但从非快速来源断开连接可能会有很长的路要走

@哦,不,好像是堆栈交换';s服务器';IP地址非常暴露。甚至其中一些可以通过改变";主持人";标题。。。谁知道如果攻击者看到你的评论会发生什么

@很明显是EatenbyaGrue。因为Stack Exchange正在公开其后端服务器的IP地址。他们甚至不试图阻止来自非快速来源的连接。他们应该解决这个问题

刚刚查看了bgpview。我真的可以';我认为除了只允许fastly(和其他一些已知的)IP之外,没有什么有用的,但我相信他们有一个合适的团队来处理这个问题。感谢所有的澄清,致以最良好的问候(删除我在这里过时的问题,以保持评论整洁)。

也许Fastly确实减轻了一些影响,但攻击的攻击性足够强,它仍然影响SE,如果没有它们,它将非常有价值。

@JasonC如果是这样,谁知道如果攻击者直接攻击会发生什么。。。。

可能是对以下几点的攻击:1'2022年2月11日上午5:33;,2. '~2022年2月14日晚上10:30;,3. '2022年2月14日下午2:19和#39;