最近 CDN 平台下,每天都有新增数十个不同用户的域名受到来自山西太原联通的几个固定 IP 网段的刷流量攻击。
每天 20:00 左右开始,23:00 准时结束。
攻击者会事先人为挑选体积较大的静态文件,例如音视频 mp4 、安装包 exe/apk 、体积较大的图片等,然后在攻击期间,不断请求这个文件,消耗流量。
攻击者会将请求的 Referer 头设置为文件链接本身,User-Agent 则有时是随机的,有时为空。
其实数月前就有体量较大的用户遇到这个问题,我们封死之后消停了一会儿,
但最近开始无差别攻击,大站小站只要被它扫到的站,都会在这个时间段内开始高频请求。
攻击者似乎并不想要将网站打死,而是慢慢地刷流量,每个域名刷的流量也不多,3 个小时内最多几百 GB 。
一开始我们以为是普通的竞对行为,后来发现互联网上有蛮多类似案例反馈,来自不同 CDN 厂商平台,在 V2EX 上也看到几个类似的帖子:
https://v2ex.com/t/1055422#r_14960872
可以认为这个是一个比较广泛的现象。
另外我们分析这些被攻击的网站的日志,发现攻击开始前的几天内,都会出现一个 153.101.*.*
的 IP (江苏联通) ,使用 Java/1.8.0_91 的 User-Agent 访问被攻击的网站里的资源,我们不确定这是否与攻击有关,但也没查到这是哪家的爬虫信息,也没搜到过前人关于这个 IP 的日志,如果你也遇到了这个攻击,可以检查下日志。
攻击者没有把哪个网站当成必须要拿下的目标,甚至你把它 IP 屏蔽之后,它也不在乎,仍旧到点继续刷同一个地址,即使这个地址会被拦截...
根据时间、攻击者行为特征,我感觉与 省间结算政策 或者该政策推开后运营商加速封杀高上传家宽(比如 PCDN 之类的)有关系。
至于到底是运营商自身拉平省际带宽差距的需要,还是政策导致的高上传家宽用户需要拉低上传下载比例来避开运营商的封杀?
我感觉是后者,观察日志发现,攻击者大部分情况下,请求的还是山西联通网内的 CDN 节点,这是达不到拉平省际带宽差异的效果的。
为什么要广撒网拿中小网站下手?我感觉是怕流量过于集中引起对方报警之类的,这样每个网站 1~200 GB 分摊下来,对于单个网站主来说,损失不大也不好立案。
本段所述只是我个人的猜测,未经证实,也未有其它证据佐证,仅供参考。
我们监控到异常的 CDN 域名后,会主动屏蔽相关 IP 访问,你也可以尝试屏蔽下列 IPv4 网段:
221.205.168.0/23
60.221.231.0/24
211.90.146.0/24
后续不知道会不会更换 IP ,但如果上述的猜测正确,攻击者自己频繁更换 IP 应该是不利于他所要实现的目的的。
另外,CDN 端开启限流措施,例如 IP 访问频率限制、流量封顶限制等访问控制功能,也是非常有必要的,可以有效减少恶意攻击产生的流量,也能在发生攻击后尽快提醒你做出应对。
1
adrianzhang 146 天前
在 https://www.v2ex.com/t/1055422 里面参与过讨论,觉得最佳防护措施是:
开启资源下载限速,按平时流量设置阈值,超过后限速。 |
2
qwedcxsaz 146 天前
看头像就知道是 dogecloud
|
3
Meteora626 146 天前
百分之 90 就是刷 pcdn 的,以前拿 pt 刷,现在发现国内 cdn 更好刷。。。
|
4
czfy 146 天前
|
5
leo1024 146 天前
我的个站 cdn 也被山西联通的 ip 刷了一百 G ,损失 30 元的样子,平时自己用一个月可能就消耗几毛,之前主要是这几个 ip 在刷,刷的时间点和楼主也是差不多。但是七牛云没有 ip 阈值限制,流量阈值告警又有半小时延迟,没啥办法已经吧 cdn 域名下线了:
221.205.169.156 211.90.146.204 221.205.169.45 221.205.169.30 |
6
kaedeair 145 天前
这几个 ip 都是家宽的,要么是肉鸡要么就是 pcdn ,看 OP 描述不太像是肉鸡。据我观察,家里宽带 ip 是在两个 16 网段池子里的,很长时间都不会变动,封禁相应的 ip 段应该是比较有效的方法
|
7
peasant 145 天前
一个跑 PCDN 的朋友给我分享了他用来刷下载量的工具,一个网站 net.arsn.cn 旧版可以自己填链接来刷, 只需要打开浏览器挂着就行了
|
8
yuzo555 OP @Meteora626 @czfy 国内 CDN 静态文件缓存后,不做限制的情况下,能直接把他带宽跑满,比 PT 站效率高太多了...
@kaedeair 封 /16 影响面太大,一下打死好多正常家宽用户。只能先封 /24 等他 IP 变化再跟进了 @peasant 这种其实好防,浏览器里面没办法伪造 Referer/UA 这些请求头(插件除外)。这次的攻击者应该是定制的程序搞的 |
9
coolcoffee 145 天前
多亏了那些 PCDN 用户,现在阿里云 iso 的镜像下载速度已经提升到 500KB/s 了😂
|
10
1874w 145 天前
我的也是,一模一样,也是江苏山西那一块的中国联通的宽带在刷,从 6 号开始被刷直到现在。
我目前配置的措施如下: 1. 防盗链已配置,但是没用,他的 referer 是图片本身的 url ,设备什么的都识别不出来 2. IP 黑名单配置,但是他会换 IP ,所以我直接封禁了 IP 段,目前效果很明显,全是 514 错误,没有计费流量 3. IP 访问限频配置 单 IP 单节点 为 1QPS ,挺有效果的,514 的错误码暴增,但是只是增加了他攻击的时长 4. 设置预警和流量上限,60 分钟累计一定流量就暂时关闭 CDN 服务。万一他换了 IP ,这个措施也能帮助我减少损失,也能及时添加黑名单。 5. 基本上只盯着那一个文件,所以目前已经删除了这个罪恶的源头图片,替换为新的图片 url 了 6. 设置 CDN 的 514 错误码缓存,遇到 514 错误,即黑名单/访问限频配置错误,CDN 会缓存 1 天(最长设置一天) 截止 2024/07/08 22:05 分他还是用的之前的 IP ,所以目前被黑名单限制住了 IP 地址为: 211.90.146.211 221.205.169.251 221.205.169.166 我的 IP 黑名单规则为 211.90.146.0/24 221.205.169.0/24 |
11
yuezhiyuan 145 天前
这行为够恶心的
|
12
Tianli0 145 天前
我也被攻击了,从 7.6 开始在每天晚上 19:45 左右开始刷。
在我的 CDN 日志里找到了 "ClientIP":"153.101.64.39","RequestReferer":"-","RequestUA":"Java/1.8.0_91" 这个 IP 来源于江苏联通 |
14
tyzrj766 144 天前
103.150.11.45
被这个江苏 IP 刷了几天,行为类似,倒是没见到山西 IP ,CDN 流量包剩的不多了才发现,关了 CDN 后又继续对 VPS 刷流量,即使 VPS 的带宽只有 3M ,防火墙封了 IP 后倒是没再来。 |
18
LuminousKK 144 天前
恶心死了,我也被太原联通的 IP 刷了,拉黑了这两个 IP 段
221.205.168.0/24 221.205.169.0/24 |
19
BlueSkyXN 143 天前
|
20
ShiroSekai 143 天前 via Android
前几天先是把楼主发的 3 个 IP 段加进黑名单了,今天又遇到几个新的 IP 来自 183.185.14.0/24 ,索性把山西联通全封了,下面是整理的 IP 段,自取。
61.134.192.0/18 61.240.32.0/21 61.240.42.0/19 118.81.0.0/16 171.116.0.0/18 171.120.0.0/16 183.184.0.0/17 183.191.0.0/16 202.97.128.0/22 202.97.146.0/24 202.97.151.0/24 202.97.154.0/23 202.99.192.0/24 202.99.197.0/24 202.99.200.0/24 202.99.203.0/24 202.99.207.0/22 202.99.212.0/24 202.99.216.0/21 203.93.113.192/26 210.52.58.0/24 210.82.139.0/24 210.82.192.0/24 211.90.80.0/21 211.93.164.0/22 218.26.0.0/19 218.26.42.0/23 218.26.52.0/22 218.26.66.0/24 218.26.80.0/21 218.26.93.0/24 218.26.96.0/19 218.26.176.0/21 218.26.184.0/22 218.26.200.0/22 218.26.214.0/22 218.26.220.0/24 218.26.224.0/21 218.26.235.0/24 218.26.241.0/22 218.26.246.0/24 218.26.248.0/24 218.26.250.0/23 218.26.254.0/23 |
21
ShiroSekai 143 天前 via Android
@ShiroSekai 虽然杀伤性很大,但无非也就山西联通的用户访问不到了,这次事件过去了再删除黑名单也无妨,鬼知道他会拿哪个 IP 刷你😇
|
22
9i5NngJHI4P7dm42 143 天前
5 秒盾也防不住吗?
|
23
ricolxwz 143 天前
可以配置签名 url
|
24
liuzimin 143 天前 via Android
话说 PCDN 用户就是所谓的玩 PT 的用户吗?
|
25
linyongxin 143 天前
省间结算政策,可能是为了掩盖 pcdn
|
26
hahade 143 天前
今天我们公司群也在讨论这个问题,好像是同一个问题,也是每天晚上 8 点到 11 点。
|
27
renaissancezz 143 天前
@leo1024 我打电话问了七牛云售后,要提交 CDN 工单才能开启 QPS 限制,还没有对流量的限制。
|
28
captray 143 天前
|
29
Soar360 143 天前
|
32
k1z 143 天前
同遇到了, 山西联通。 最开始刷了 168T 。 后来我们开了 url 鉴权。 在之后就是换域名刷。。 公司好几个域名来回刷。。。 只能做了个监控发现一个处理一个。。
IP 如下: 221.205.168.56 116.179.152.56 221.205.169.206 |
35
wangyunzi 142 天前
前几天被耍了两次,一共 100 多 g ,不断逮到我的 avatar 图像刷,用的七牛云,差不多也是损失三十多块钱吧,有人说直接向山西网警举报
|
36
chesha1 142 天前 1
@liuzimin PCDN 是 CDN ,PT 是私有化的 BT 。PCDN 主要是出售带宽给各个商业公司赚钱用,PT 主要是用于分享一些资源,无直接经济收益,是两个事
|
37
somsne 142 天前
已报警,下午去派出所找网络相关的民警沟通,警务站的民警表示网络上的他们也不懂😂
他们以前随便刷刷几十个 G 就算了,前天刷了我 3 个 T ,损失将近 1000 |
38
Nav4ai 141 天前
这些人真出生,要刷就去刷 Steam 管家这样的网站,就逮着个人博客跟小网站刷。
|
40
ShiroSekai 141 天前 via Android
@somsne 支持!蹲后续
|
41
somsne 139 天前
@ShiroSekai 后续是帽子叔叔认为没有办法认定他的违法行为。
理由是虽然那边流量异常,但是这个人可以说闲的无聊,不停手工点我的链接,并不违法。我用计算器帮他算了一下,要达到这么大的流量,这个人必须每秒点一下,不间断点 4 个小时。他依旧认为从理论角度这是可以做到的,所以不能给我立案。哪怕对我们已经造成损失了,导致我们腾讯云其他服务因为欠费而下线了,他也认为这个应该是我们公司运营必须面对的问题。 跟帽子叔叔聊了一个多小时,虽然没解决问题,但聊得也算愉快的。要给他上破坏计算机信息系统罪,必须是故意绕开我们的防护体系。CDN 的流量限制规则不算,IP 封禁不算,必须要我拿出直接的证据才行。而从实践的角度看,我就算拿出来了,也有可能无法证明他是故意的,认定为是咱们的 BUG 。 说白了,我认为是涉案金额太小了,我们小公司声音不够大。 联通那边我也找过人工,意思是有能力配合,但只能跟帽子叔叔配合。 说一句让大家失望的话,目前这个问题是无解的。 下一步我准备从 EdgeOne 重新切换回普通的 CDN 了,下载链接全部挂鉴权配置,自己写个后台做些简单的限制 |
42
ailiyaqin2003 137 天前
@ShiroSekai 厉害,谢谢
|
43
chenxuuu 130 天前
我也被刷了几个 G ,60.220.182.12 这个 ip
准备给 cdn 换个域名,老域名重定向到 400G 的 brotli 炸弹 |
46
tutugreen 130 天前
补充:
60.221.195.0/24 |
47
sagaxu 130 天前
如果给它 301/302 到政府部门的 CDN 去,它会跟随重定向吗?
|
49
virusdefender 130 天前
我网站图片的 cdn 昨天也被刷了 100 多个 G ,直接欠费了
|
50
oneisall8955 130 天前
@virusdefender +1 ,刷了 99G ,七牛云欠费了
|
51
sunnysab 129 天前
@oneisall8955 被刷了 66G ,七牛云欠费了……
|
52
oneisall8955 129 天前
|
53
virusdefender 129 天前
@oneisall8955 确实,今晚又开始了
|
54
xiaose2014 127 天前
真烦人,天天都有
|
55
purocean 110 天前
36.152.201.0/24 这个 IP 段又来了
|
56
somsne 108 天前
因为 cdn 的 qos 功能用下来问题千奇百怪,后来就自己写了个服务,进行流量过滤,把大文件和产品的安装包挂在上面
快一个月了,目前只有偶尔观察到他们会密集访问已经失效的下载路径,算了一下最疯狂的一天返回了将近 200 万次的 403 和 514 。经过流量过滤服务的链接他们现在反而不会去尝试,我在服务后台的自动黑名单没有观察到 同时我这边也关注到了 134.122.184.0/24 这个 IP 段,近期不停在扫我们的后台漏洞,不知道是不是跟他们有关系 扬州这边的一些 IP 也开始了刷流量行为,有需要的朋友可以选择性屏蔽 |
57
Mocker1106 108 天前
|