公司的阿里云 CDN 每晚都在被偷偷刷量

202 天前
 maomaosang

昨晚偶然查看了公司的阿里云 CDN 监控,发现被偷偷刷量了。

攻击方式是每晚 20-23 点,会用几千个 IP 请求一个 100M 左右的 exe 文件,和一个十几 k 的静态文件,以非常稳定的带宽占用刷掉 100-700G 的流量,然后安静的结束。从 4 月中旬攻击到昨天晚上。然后我们换掉了文件名,CDN 返回 404 ,攻击仍然持续到 23 点准时结束。我们是买流量包用的,一次会买大半年的用量,所以之前没有发现。

有几点非常奇怪,想请教一下各位:

1.我们正常的每天用量大约是 30-50G ,每个月 1T 出头。费用是 126 元/T 。黑客用一个半月的时间,大约刷掉了 8T ,大概是一千块。这个费用对公司不痛不痒,目的是什么?(希望黑客不要看到这条后给我加个零)

2.攻击 IP 非常诡异,除了全世界各地&全国各地的 IP 地址以外,还有一些 6.开头和 0.开头的 IP ,我查询之后发现分别是美国 DoD 和 IANA 的保留地址,前者还勉强可以说通,责任全在米方,保留地址是啥情况?这些 IP 地址来自阿里云后台下载的 CDN 访问记录。

提醒大家为 CDN 服务加上监控。

8387 次点击
所在节点    云计算
40 条回复
HojiOShi
202 天前
阿里云在监守自盗
someone0123
202 天前
还有一种可能是一些地方运营商在刷,他们好像会有跨省结算的问题,会通过刷流量来打平内部账单
Moyyyyyyyyyyye
202 天前
🤔xterminal 也遇到过,直接迁移出去了,任何方法都无法防止,固定时间固定频率,最大文件
me1onsoda
202 天前
刷流量不用成本吗
zx900930
202 天前
腾讯云也是一样
刷最大的静态文件,刷了几个 T 的流量,几万块钱。
zedpass
202 天前
之前我也遇到过有用国内 IDC 的机器一直访问我们官网的 APK 下载链接,半年刷了二十多万的账单出来,不知道做这些损人不利己的操作是什么目的,一百多台机器 24 小时不间断访问半年的成本也不低了
yuzo555
202 天前
有几个客户遇到了这个事情,现象一样,19:30 之后准时开始,23:00 准时停。
不光是阿里云线路,我们这边其他包括腾讯云华为云线路都有遇到。

攻击者 IP 来自中国境内各地的联通,没有电信和移动。
个人赞成 #2 @someone0123 的判断。
maomaosang
202 天前
再补充两点

攻击 IP 还有 231.0.0.0/8 这个网段的,查出来是“组播地址”,这已经完全超过我的知识范围了……

以及,虽然攻击 IP 大部分不属于中国大陆,但阿里云在计费时 99%的流量都算到了“中国内地”
yuzo555
202 天前
有一个特点是它们似乎不在乎刷没刷成功,认定一个链接后我们运维把他 IP 封禁、响应 403 ,即使删除这个链接响应 404 或者其他错误,它们仍然继续刷。感觉可能是攻击范围太大,管不过来。
maomaosang
202 天前
@someone0123 这个角度听起来有意思,也符合我上条阿里云都计费到中国内地的状况,但一个月 1000 块的流量费也太少了,是找小网站给它“积少成多”?
mmlmml1
202 天前
之前看到过有 PCDN 刷下载流量来降低上传/下载比例,来避免被运营商发现

https://www.reddit.com/r/qBittorrent/comments/192c0nt/what_is_wrong_with_some_china_peers/
maomaosang
202 天前
根据二楼信息找到一个讲“省间结算”帖子 https://v2ex.com/t/1007257
maomaosang
202 天前
IP 的疑问解决了,阿里云 cdn 记录的是可以伪造的 xff 地址,不是真实 IP 地址
https://help.aliyun.com/zh/cdn/user-guide/download-logs
MartinWu
202 天前
我们七牛云这里也是同样的时间,同样的问题。。。
bytesfold
202 天前
有一种测速网站会一直请求某个文件,不过不是定时的
k452b
202 天前
还有这回事
javalaw2010
202 天前
我们也遇到过,ucloud ,单 IP 刷流量,请求我们的一个 apk 链接,被刷了一段时间之后如果不做出反制措施似乎会加大力度,我们 CDN 平时用的很少所以告警阈值设得很低,被我发现了,我拉黑之后还持续了大概一天多才停。
lyc8503
202 天前
有种可能就是上面提到的 PCDN 或者违规使用家庭宽带的黑心 IDC:

近期运营商开始省间结算,部分地区的家庭宽带要求上传/下载比例足够小,否则可能会被限速或者封宽带

然后这些违规使用宽带的人就开始用脚本随机找链接刷下载流量,而且晚 20-23 点正好是 PCDN 上传高峰期

前段时间各个高校的开源镜像站也被类似地刷过流量
LiuJiang
202 天前
哥们,要不提个阿里云工单问下?
duanxianze
202 天前
赞同 2# 大概率运营商自己干的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1045318

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX