简介
7月11号早上正常上班登录邮箱发现了一条来自七牛云的告警记录,提示我CDN流量超过为1.270 GB, 已高于预设值1.000 GB,打开七牛云的控制台看到何止1.27GB,当日已出账流量为8G,未出账的流量还有十多G,虽然不多但被刷流量还是挺恶心的,之前一直有开防盗链,但是仍然无法防范此类攻击,第一阶段我禁用了空 Referer,但是毫无作用,7月12号依旧是被盗刷的一天,只是今天我才发现,而且攻击的时间很有规律:每天晚上 20~23,IP地址则是来自山西联通,盗刷的资源仅仅是一张600多kb也不怎么起眼的图片。
![图片[1] - 近期大规模山西联通流量盗刷事件 - 登山亦有道](https://qiniu.chenyan98.cn/wp-content/uploads/2024/07/3348f7.jpg)
![图片[2] - 近期大规模山西联通流量盗刷事件 - 登山亦有道](https://qiniu.chenyan98.cn/wp-content/uploads/2024/07/255dd4.jpg)
今天上午都在断断续续的处理这件事情,首先想到的还是从七牛云这边进行解决,设置更严格的访问控制,可惜垃圾七牛云能够设置的访问控制只有那么几种,至于单ip访问频率限制QPS的设置还需要提交工单让七牛云的运维去设置,用户无法主动进行设置,考虑到我博客中图片比较多目前我的QPS为100,如果图片或者静态资源不多的情况下50足矣,更详细的内容可以参考的下面这篇文章,访问时或许需要全局梯子,请各位知悉。
七牛云系列文章(3):防止七牛云CDN被恶意刷爆流量的思路和措施 - 陶小桃Blog (52txr.cn)
发现IP地址的规律之后便开始思考如何进行反制,发现了下面这几篇文章,文章中对于这种现象做出了充分的分析和猜测,并提出了对应的解决方案,很值得一看。我这边也转载一下。
每天晚上 20~23 时准点被山西联通 IP 刷流量现象的分析和猜测 - V2EX
近期大规模山西联通ddos/cc攻击事件(临时解决方案)-零一物语 (docn.net)
[分享发现] 每天晚上 20~23 时准点被山西联通 IP 刷流量现象的分析和猜测 (sechub.in)
现象
最近 CDN 平台下,每天都有新增数十个不同用户的域名受到来自山西太原联通的几个固定 IP 网段的刷流量攻击。
每天 20:00 左右开始,23:00 准时结束。
攻击者会事先人为挑选体积较大的静态文件,例如音视频 mp4 、安装包 exe/apk 、体积较大的图片等,然后在攻击期间,不断请求这个文件,消耗流量。
攻击者会将请求的 Referer 头设置为文件链接本身,User-Agent 则有时是随机的,有时为空。
其实数月前就有体量较大的用户遇到这个问题,我们封死之后消停了一会儿,
但最近开始无差别攻击,大站小站只要被它扫到的站,都会在这个时间段内开始高频请求。
分析
攻击者似乎并不想要将网站打死,而是慢慢地刷流量,每个域名刷的流量也不多,3 个小时内最多几百 GB 。
一开始我们以为是普通的竞对行为,后来发现互联网上有蛮多类似案例反馈,来自不同 CDN 厂商平台,在 V2EX 上也看到几个类似的帖子:
遇到脚本小子(小丑)的 CC 攻击,大家有什么好的建议? - V2EX
可以认为这个是一个比较广泛的现象。
另外我们分析这些被攻击的网站的日志,发现攻击开始前的几天内,都会出现一个 153.101.*.* 的 IP (江苏联通) ,使用 Java/1.8.0_91 的 User-Agent 访问被攻击的网站里的资源,我们不确定这是否与攻击有关,但也没查到这是哪家的爬虫信息,也没搜到过前人关于这个 IP 的日志,如果你也遇到了这个攻击,可以检查下日志。
猜测
攻击者没有把哪个网站当成必须要拿下的目标,甚至你把它 IP 屏蔽之后,它也不在乎,仍旧到点继续刷同一个地址,即使这个地址会被拦截...
根据时间、攻击者行为特征,我感觉与 省间结算政策 或者该政策推开后运营商加速封杀高上传家宽(比如 PCDN 之类的)有关系。
至于到底是运营商自身拉平省际带宽差距的需要,还是政策导致的高上传家宽用户需要拉低上传下载比例来避开运营商的封杀?
我感觉是后者,观察日志发现,攻击者大部分情况下,请求的还是山西联通网内的 CDN 节点,这是达不到拉平省际带宽差异的效果的。
为什么要广撒网拿中小网站下手?我感觉是怕流量过于集中引起对方报警之类的,这样每个网站 1~200 GB 分摊下来,对于单个网站主来说,损失不大也不好立案。
本段所述只是我个人的猜测,未经证实,也未有其它证据佐证,仅供参考。
应对
我们监控到异常的 CDN 域名后,会主动屏蔽相关 IP 访问,你也可以尝试屏蔽下列 IPv4 网段,需要注意的是每个人遇到的IP可能不一样,所以需要根据自己的实际情况来进行屏蔽:
221.205.168.0/23
60.221.231.0/24
211.90.146.0/24
183.185.14.0/24
60.221.195.0/24
后续不知道会不会更换 IP ,但如果上述的猜测正确,攻击者自己频繁更换 IP 应该是不利于他所要实现的目的的。
另外,CDN 端开启限流措施,例如 IP 访问频率限制、流量封顶限制等访问控制功能,也是非常有必要的,可以有效减少恶意攻击产生的流量,也能在发生攻击后尽快提醒你做出应对。
![图片[3] - 近期大规模山西联通流量盗刷事件 - 登山亦有道](https://qiniu.chenyan98.cn/wp-content/uploads/2024/07/1c8f7c.png)
这边再引用一个比较全面的解决方案供大家参考:
我的也是,一模一样,也是江苏山西那一块的中国联通的宽带在刷,从 6 号开始被刷直到现在。
我目前配置的措施如下:
1. 防盗链已配置,但是没用,他的 referer 是图片本身的 url ,设备什么的都识别不出来
2. IP 黑名单配置,但是他会换 IP ,所以我直接封禁了 IP 段,目前效果很明显,全是 514 错误,没有计费流量
3. IP 访问限频配置 单 IP 单节点 为 1QPS ,挺有效果的,514 的错误码暴增,但是只是增加了他攻击的时长
4. 设置预警和流量上限,60 分钟累计一定流量就暂时关闭 CDN 服务。万一他换了 IP ,这个措施也能帮助我减少损失,也能及时添加黑名单。
5. 基本上只盯着那一个文件,所以目前已经删除了这个罪恶的源头图片,替换为新的图片 url 了
6. 设置 CDN 的 514 错误码缓存,遇到 514 错误,即黑名单/访问限频配置错误,CDN 会缓存 1 天(最长设置一天)
截止 2024/07/08 22:05 分他还是用的之前的 IP ,所以目前被黑名单限制住了
IP 地址为:
211.90.146.211
221.205.169.251
221.205.169.166
我的 IP 黑名单规则为
211.90.146.0/24
221.205.169.0/24
最后再diss一下七牛云IP 访问频率限制、流量封顶限制等访问控制功能是真的做不出来吗?
作者:晨岩
本站所有文章除特别声明外,均采用 BY-NC-SA 4.0 许可协议。转载请注明出处!
![表情[xiaoku] - 登山亦有道](https://qiniu.chenyan98.cn/wp-content/themes/zibll/img/smilies/xiaoku.gif)
![表情[wunai] - 登山亦有道](https://qiniu.chenyan98.cn/wp-content/themes/zibll/img/smilies/wunai.gif)
