【杂谈】近期本站CDN受到流量CC攻击的情况整理

发布于 / 日常杂谈 / 41 条评论

对PCDN这个群体我真的是服了,为了均衡上下行比例先是刷高校镜像站,然后吸BT的血,现在薅到普通站长头上了……国内互联网本来就乌烟瘴气的,欺负到什么事都只能自认倒霉的自发电的群体头上,良心不会痛么?

目前本站已关闭CDN服务,待事件平息后再进行优化。


更新:别揍了,别揍了,我服了

不给刷CDN也别ddos啊……博主纯纯摸鱼养老,博客都快长草了,别打了别打了!接连被打这个博客只能躺给你们看了……


攻击情况

2024年7月7日,时间周期约20:00-24:00,流量消耗189.03G,当时以为是正常的偶发性网络攻击,未采取应对措施。来源IP段是山西太原联通211.90.146.0/24221.205.168.0/23

2024年7月8日,时间约20:00,流量消耗26.82G,收到告警后对CDN进行了停机。来源IP段是山西太原联通211.90.146.0/24221.205.168.0/23。在与群友交流后,确认为普遍事件,屏蔽了山西太原联通的2个IP段。2024年7月9日恢复了CDN服务,当日未产生攻击流量。

2024年7月10日,时间约20:00,流量消耗12.97G,从群友处得到其更换了IP段后对CDN进行了停机操作。攻击IP段变为118.81.185.0/24118.81.184.0/24


结语

由于先前的一些安全措施响应,本站目前损失共计在220G左右,整体在可控范围内。但优刻得的CDN安全功能非常羸弱,在事件期间不具备开启的条件。也希望看到的各位站长对自己的CDN、对象存储服务多加注意,及时更新黑名单IP段,适当关停部分不必要的分发服务以避免风险。

攻击特征是对某一个较大的媒体文件(图片、视频)反复请求,每个请求的IP、UA均有轮换。其使用的refer为媒体文件本身,所以通过防盗链限制空refer并没有效果。目前应对措施只有IP黑名单、限速、请求频率限制比较有效,此外也可以删除被刷的文件。

目前已通过腾讯云EdgeOne团队找到了大量的受害群体,EdgeOne安全团队也不堪其扰在不断商讨解决方案。对站长而言,暂时并没有很好的维权方案,若有需要本站可提供受攻击时的完整日志记录。

转载原创文章请注明,转载自: Luminous' Home » 【杂谈】近期本站CDN受到流量CC攻击的情况整理

  1. 请问下.vc 是怎么备案的,我看可备案的后缀里不包含,想备案 .best 的不知道可不可以

    1. @linjie 我是在2017年新规出来之前备案的,一直没有变更,所以保留下来了……
      1. @Luminous 好的好的,现在不行了😔
  2. 有点慌了对象存储我把钱用完就不用了。以前放阿里云被d过好几次,本来就是挂着玩玩的多余的成本吃瓶水也是好的

    1. @七十载 目前这个状况,还是尽量不要使用没有封顶的服务,免得造成大的损失
  3. 吓死,刷完镜像源又来继续霍霍各个中小站点,好在自己的博客并没有被刷……立刻撤掉了来的dcdn

    1. @恰 现在大家都不给刷了,然后群里好多人昨天凌晨被ddos……
      1. @Luminous 看不懂为什么要DDOS,我认为DDOS对刷下行毫无帮助(越来越看不懂PCDNER了
  4. 这些天天搞这些

  5. 闲鱼上有卖家在售卖一款所谓的pcdn流量自动补充软件,声称自动更新,上万个url轮流下载。
    再结合各大站长所说“被攻击前几天均出现一个UA为Java 1.x的访问”,基本能确定就是这帮人干的,通过友链、搜索结果获取国内有备案号的、使用cdn的中小型网站,自动爬取其体积较大的资源…

    1. @Misaka 可能性比较大,还是得看谁整理的这个文件列表
  6. 这几天一直在研究CF的优选IP作为国内访问的节点,目前发现福建泉州电信不能访问其他地方访问速度还行,不知道站长做过吗

    1. @骄傲的学生 CF有随机阻断干扰,本身网络也一般
  7. 其实它采用的空referer,取消空referer访问的许可也能起到防御作用,类似的遭遇:https://www.jishusongshu.com/network-tech/cdn-attacked-analysis/

    1. @松鼠小 我当时把CDN撤掉没有进一步关注了,有群友说它的Refer是文件本身,难绷
  8. 我嘞个鳅鳅,还有这种人的,要多自私才能干出来这种事啊!博主惨的
    ( ‘-ωก̀ )

    1. @Xia 他们是惹不起大公司,搞个人没风险
  9. 是这样的,好多博主的站都被打了,有的损失大的也有好几百块的……而且不分服务商直接打,我也要去看看我站怎么样的了……实在不行只能限流+封禁+走cf了

    1. @汐湫 我这边也是,暂时换成不会破产的云盾了……
  10. 中招的人确实不少,包括我自己😂搬到cf之后好多了,也就比腾讯云延迟高一丢丢,还能接受

    1. @蜘蛛抱蛋 现在cloudflare的网络状况感觉要好不少(笑
  11. 我这里有做一个IP黑名单,https://api.gymxbl.com/ipb/,大家可以在雷池等防火墙里面订阅一下,会不定时更新攻击IP地址。

  12. 据说是pcdn在刷下载流量以降低下载与上传之比?反正他们就盯着国内cdn刷,据说很多博客都被刷了(笑www

    据说以下ip段都会有攻击?我也不确定(我全站cloudflare就没啥问题,全是爬虫(哭 [群友总结的ip段](https://paste.ubuntu.com/p/4RHXhyc9Qw/)

    1. @天翔TNXG 是的,我这边遇到的主要是山西太原那个段,太恶心了……
  13. 我网站也被刷了,目前用 IP 黑名单 + 限制带宽的方法还算过得去。

  14. 我这边几个江苏扬州的IP刷了几T,请求刷了2亿左右,由于设置了超速报警,及时发现了这一行为,一开始采用边缘脚本跳转到cf的cdn去,后来发现qps在上涨(开始刷请求数了)设置了IP黑名单,然后发现仍然在扣资源包,和阿里云沟通发现IP拉黑只能减少流量账单,请求数是不会少的,真是奸商,然后建议我这边进行升级DCDN全站加速配合边缘WAF,说是成本很少,经过几个小时的测试,发现WAF带来的额外请求数成本比本身CDN时期的开销还大,目前已经不再使用阿里云CDN了,简直是奸商,立于不败之地

    1. @chiikawa 国内的SCDN都是天价,如果阿里都上了那腾讯云的EdgeOne可以浅浅试一下,毕竟标榜拦不住退费的。反正这些我都用不起……
      1. @Luminous 前提是得有规则,他能拦住了才行。拦截流量、请求确实不计费,不过EO平台本身不是很稳定,据说有人拿来搞黑产导致经常有节点被DDoS下线,之前还发生过EO全节点被DDoS宕机。一个安全防护服务自己被干下线确实有点搞笑了。
      2. @Luminous 感觉edgeone也没拦住,刷了不少。客服说还得自己配置规则......
  15. 他们貌似只刷境内cdn的流量啊,我的cf挂那求打都没被刷

    1. @一只没有对象的指针 是的,他们只刷速度能跑起来的境内CDN……
  16. 我也被打了180多G,禁掉ip后还会提高QPS刷请求数,真的服了

    1. @TomsProject 没见过这么奇葩的事,他就是纯机器,即使你屏蔽了还是会执行一直刷
  17. 买个不限流量的 VPS 算了。感觉 CDN 没什么必要。

    1. @涛叔 没备案无所谓,备案之后国内的服务器带宽都太小了,CDN是最经济的选择了……
      1. @Luminous CDN 被打账单会爆炸💥 另外,你的留言邮件通知用的是 QQ 企业邮箱吗?发出的邮件居然没有 DKIM 签名。我特别试了一下 QQ 邮箱,它发的是有的。我自己的邮局检查比较激进,没有 DKIM 签名会进垃圾箱😂
        1. @涛叔 是的,等我有空配置一下
          1. @Luminous 留言通知邮件已经有 DKIM 签名了🎉
        2. @涛叔 CDN可以提供更高的吞吐量,以我的源站7Mbps带宽(已经算蛮大的了在国内云服务来说)为例,一个访客加载主页(包括Webp图片和js css)就需要差不多6-7Mbps带宽了。使用cdn后,将静态资源缓存在边缘节点,我的源站只需要提供访问的页面,经过压缩后只有不到20kb,7Mbps带宽就可以提供差不多40人同时访问了。经过我的测试,使用北京的3Mbps(单独用于雷池WAF)加载全部静态资源需要卡1秒才能显示页面,而使用了CDN则可以瞬间打开页面。 对于账单问题,可以选用支持配额管理的CDN,如腾讯云,超额后主动停止服务,避免损失扩大。
          1. @catkin038 如果没有备案需求,放到国外的 VPS 足够了。关于备案,我之前写过文章,供参考 https://taoshu.in/beian.html
            1. @涛叔 备案的话主要是提供国内访问,可以有更快的响应速度。除此之外还真的不如放个国外大带宽服务器。备案后经常接到区网信办的监督电话,比如以未提供实名系统而不允许开评论等等。所以为了避免这些限制,我除了提供了一个受限的备案域名之外,还提供了一个未备案域名。我这次没有遭毒手可能就是因为,后期我基本都以未备案的域名作为对外展示了。带宽大能吃下更多的流量,Cloudflare也足够省心好用。缺点是不管VPS还是CF,在国内部分地区都出现了被屏蔽的现象,这让我有点头大。