那一天,Anubis 在 DDoS 攻擊中拯救了我們的網站 (★ 105 分)
ScummVM 專案的維運團隊發現,主機架構採用 Apache2、PHP-FPM 與 MariaDB(關聯式資料庫管理系統)時,突然出現異常負載。原以為只是單一 IP 或流量突增,但實際上來自全球約 35,000 個住宅網路 IP 的高成本請求併發,導致資料庫拒絕新連線、PHP-FPM 連線池耗盡、Apache2 無法接受更多連線,網站頻頻宕機,重啟雖能短暫緩解,但迅速再次陷入資源枯竭。
為了將負載從應用伺服器撤離,團隊引入 Anubis 程式。Anubis 置於接收 HTTP/HTTPS 與後端應用之間,依據預設或自訂的 bot 政策定義,判斷「已知正常」與「已知惡意」客戶端。對於自稱瀏覽器卻行為可疑的連線,Anubis 會發出 proof-of-work (工作量證明) 挑戰,通過後可獲得一週效期的通行憑證;挑戰失敗或逾期者則被拒絕回應。
部署 Anubis 後,原本飆高的 MariaDB 負載曲線在監控圖表上明顯回落,伺服器再也未傳出過度載或連線耗盡的警示。這套機制不僅阻擋惡意 AI 抓取機器人,也在持續進行的攻擊中有效分散 DDoS (分散式阻斷服務) 壓力,讓 ScummVM 的網站、維基與論壇得以穩定運行。
Hacker News 社群討論指出,傳統透過 IP 或來源限速對抗規模化住宅代理 (residential proxies) 幾乎無效,因為攻擊者可在全球大量布建不同 IP。與其持續堵 IP,不如像 Anubis 一樣將計算成本加到攻擊端身上,使其自我耗盡。也有人提醒如果使用者不允許 cookies 或停用 JavaScript,可能因無法通過挑戰而被不當攔截,影響正常存取體驗。
社群同時關注 Anubis 的授權與品牌客製化。程式採 MIT 協議,理論上允許任意修改與再散布,但官方僅「請求」使用者保留 Anubis 吉祥物圖示,並開放商業白標 (white label) 合約方案。部分網管建議未來可整合 IP 信譽資料庫 (hivemind)、增進無 JavaScript 瀏覽的友善檢測,或提供更專業風格的 UI 主題,以平衡防護效能與使用者體驗。
👥 63 則討論、評論 💬
https://news.ycombinator.com/item?id=43864108