【杂谈】近期本站CDN受到流量CC攻击的情况整理

对PCDN这个群体我真的是服了，为了均衡上下行比例先是刷高校镜像站，然后吸BT的血，现在薅到普通站长头上了！国内互联网本来就乌烟瘴气的，对这样一个手无寸铁的自发电的群体下黑手，良心不痛么？

目前本站已关闭CDN服务，待事件平息后再进行优化。

攻击情况

2024年7月7日，时间周期约20:00-24:00，流量消耗189.03G，当时以为是正常的偶发性网络攻击，未采取应对措施。来源IP段是山西太原联通211.90.146.0/24和221.205.168.0/23。

2024年7月8日，时间约20:00，流量消耗26.82G，收到告警后对CDN进行了停机。来源IP段是山西太原联通211.90.146.0/24和221.205.168.0/23。在与群友交流后，确认为普遍事件，屏蔽了山西太原联通的2个IP段。2024年7月9日恢复了CDN服务，当日未产生攻击流量。

2024年7月10日，时间约20:00，流量消耗12.97G，从群友处得到其更换了IP段后对CDN进行了停机操作。攻击IP段变为118.81.185.0/24和118.81.184.0/24。

结语

由于先前的一些安全措施响应，本站目前损失共计在220G左右，整体在可控范围内。但优刻得的CDN安全功能非常羸弱，在事件期间不具备开启的条件。也希望看到的各位站长对自己的CDN、对象存储服务多加注意，及时更新黑名单IP段，适当关停部分不必要的分发服务以避免风险。

攻击特征是对某一个较大的媒体文件（图片、视频）反复请求，每个请求的IP、UA均有轮换。其使用的refer为媒体文件本身，所以通过防盗链限制空refer并没有效果。目前应对措施只有IP黑名单、限速、请求频率限制比较有效，此外也可以删除被刷的文件。

目前已通过腾讯云EdgeOne团队找到了大量的受害群体，EdgeOne安全团队也不堪其扰在不断商讨解决方案。对站长而言，暂时并没有很好的维权方案，若有需要本站可提供受攻击时的完整日志记录。

在此次针对全网博客的CDN、对象存储刷流量事件期间，由于攻击原因导致的IP段进入黑名单，本站暂不予解封。