一、问题
从上月开始每晚被人异常盗刷cdn流量,请求时间都是在19:50-23:00之间,前两天没能发现,就这样被刷了900多个G的流量,第三天把ip加入了黑名单,此次被大量请求的文件是我们的安装包,由于更新迭代该安装包已经没用,为了不造成损失我直接把这个包删了,还以为是被针对了,这个月才知道原因。
在多吉云公告上看到这样一句话
攻击者会挑选体积较大的静态文件,例如视频、安装包、体积较大的图片或脚本等,在攻击期间,不断请求这个文件,消耗受害网站的 CDN 流量。
推测此类攻击可能与运营商省间结算政策施行后,某些地区的高上传家宽用户(例如 PCDN 等)为了躲避运营商封杀,降低“上传/下载”比例,人为刷下载流量的行为有关
1、什么是PCDN?
PCDN是指个人内容分发网络(Personal Content Delivery Network)的缩写,是一种专门为个人用户提供内容分发服务的网络。
2、为什么要这么做?
为了规避运营商的监测,某些PCDN 从业者可能会伪造数据,频繁发起请求并下载,从而制造大量的下载流量,以平衡上传流量,使得上下行流量看起来相对平衡,避免被运营商识别为 PCDN。
(参考大佬博客:小心,近期国内云 CDN 用户遭受到恶意刷流量!(附赠 IP 地址段黑名单)_cdn被刷-CSDN博客)
(附上异常ip记录)
6月异常ip:
参考多吉云公告,可将下列 IPv4 网段添加至 IP 黑白名单配置 功能的黑名单中
221.205.168.0/23
60.221.231.0/24
211.90.146.0/24
122.195.22.0/24
118.81.184.0/23
124.163.207.0/24
124.163.208.0/24
183.185.14.0/24
36.35.38.0/24
60.221.195.0/24
60.220.182.0/24
61.160.233.0/24
二、解决办法
防止别人恶意访问资源产生大量流量,单纯的从cdn的层面上来处理,是不能完全规避掉的,可以通过访问控制方式来实现对访客身份的识别和过滤,从而限制访问CDN资源的用户,提升CDN的安全性。
1:referer防盗链: 只有携带了相应referer 请求头 的 http请求才能访问资源,但是对于技术来说,referer都是可以伪造的,存在一定的风险
2:时间戳防盗链:url带着e和token参数访问,e为过期时间,但是只要捕获到了url就可以访问资源了,只适用于访问xx次的场景
3:回源鉴权:每次访问cdn图片时,会携带自己定义的访问参数去自己的服务器上鉴权,只有服务器鉴权通过,返回 httpcode=200 ,才会将图片资源给用户访问,否则无法返回图片
4:IP黑白名单:这个适合某一个网段内的ip访问资源,不适合官网使用
5:配置qps:限制单ip每秒访问次数
虽然文件删了后没有损失,但是每天看到请求记录还是很烦,希望相关部门可以严厉打击,(内心已经把这群人骂了千百遍)
988
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
