遇到脚本小子(小丑)的 CC 攻击,大家有什么好的建议?

225 天前
90xchun  90xchun

事情起因

一觉醒来就就发现阿里云要准备删除我的数据,这还不起来看看,第一反应是延停额度应该没有这么快用完呢

x

按照常理来说,这个账户上面并没有其他服务得,只有 OSS + CDN ,所有大概率是 CDN 被人搞了,登录控制台一看,果不其然

x

刚开始还以为是程序 bug ,导致程序疯狂请求 zrlog 的插件下载文件,所有第一怀疑的是 https://dl.zrlog.com 这个域名,但是简单的过滤一看,并不是这个域名。 第二感觉是 https://www.zrlog.com 程序主页被恶意攻击了,但一看也不是呢,通过对其他几个域名排除,发现是 https://xiaochun-blog.zrlog.com 这个域名流量很大,但是这个域名里面存放基本都是图片文件,那基本排除是程序本身的问题

小丑干了些什么

x

小丑就是小丑,机器都得 996 ,大晚上的还要为小丑们干这种恶心人的活,建议你重开一局吧

日志

一堆请求都指向了一张图片,看来不用分析了,小丑们最最引以为傲的技术 DDOS 或者 CC ,因为高端不会,也学不来,简单看了一眼 ip ,基本全球各地的都有

用这么多的 ip 就为了访问一张图片

累计请求了 7w 来次,平均到每个 IP 也就 10 个请求,妥妥的 CC 攻击了

找出小丑

小丑可能不知道 .log 文件是干嘛的,所有以为自己能逃之夭夭了吗?

通过简单的分析,小丑就浮出水面了,本身博客访问量就在 2 位数,通过完整的日志分析,小丑在日志文件面前可谓是一丝不挂

小丑原来躲在 阿里云的机器后面

59.82.135.85 -> Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.3579.18 Safari/537.36

为什么确定这就是小丑呢,因为小丑还有另外一个 IP

这两个 ip 都是 阿里云 ip ,基本可以断定的是小丑是使用了 代理机器抓取了博客的部分内容,然后选取了一张较大的图片,然后加入了自己的小丑的帽子(工具包)里,可悲的是这 7w 多次请求大部分都被 CDN 缓存击中了,也就是说这等于打到棉花上面了,加上本来就已经是静态的 html 托管的 OSS ,那这种弟弟行为为了撒,就为了让我一大清早的起来给 aliyun 充值吗?

小丑为什么只能是小丑

因为这种人只会 CC/DDOS 只会用很低级手段,来博取观众的笑声,所有才被叫小丑,马戏团的小丑,人家是有工资的,那你这么搞一个本身不盈利的网站,请问小丑们的工资找谁领? ISP 运营商你爹还是你娘?

小丑战绩

如何防止 CC

从技术来说,CC 可以防止的,比如 cloudflare 的 5 秒盾,无非是做好流量清洗( RMB 玩家),避免非正常用户请求压垮源站

DDOS 才是真流氓,但是小丑们的肉鸡数量在大厂 CDN 面前也是弟中弟一般无二,所有 CC 耗光观众账户余额,被迫关闭站点,这条路够这些互联网小丑炫耀一辈子了

最后: CloudFlare 真大善人也,要赚就赚有钱人的钱


原文链接: https://xiaochun.zrlog.com/ulgy-script-boy.html


说实话我还是希望用国内的 cdn ,即使收点费得,已经上了 dcdn 得 WAF 了(估计没有用,个人还是趋向于 cloudflare 的那种直接上 5 秒盾的)

分享到这里,是希望了解下大家遇到这种脚本小子的 CC 攻击,都有什么应对方案

12083 次点击
所在节点    问与答
105 条回复
revalue
225 天前
我是小白冒昧一答。
适合小白对象存储的:腾讯云对象存储套 dns 。dns 可以设置 qps 限制 啥限制,这样可以防护对象存储(亲自试用了一个多月目前感觉尚可)网上搜一下腾讯云 dns 怎么防护
90xchun
225 天前
dns qps 限制估计有点悬额,毕竟这些请求是在 2 个多小时完成的,二两个小时就有 7200 秒,而攻击的源 ip 就有 7 前多个,限制不到这种情况得
90xchun
225 天前
@revalue 估计悬
wushenlun
225 天前
无解,没钱别用 oss/cdn ,被 CC 攻击了,拦截页面也是有流量开销的,cf 只能说算是个奇葩了
revalue
225 天前
@90xchun 海外的,分开用 cloudfare 啊。海外这种几千个 ip 的太多了,没那个心思自己对抗
gaobh
225 天前
我跟你一样,也是被 cc 攻击图片,每天晚上 8 点到 11 点有 100 万请求,开了 waf 发现都是山西的请求,直接把山西全省禁掉了,幸亏都是主站图片,对业务没影响哈哈。
90xchun
225 天前
@wushenlun 其实这次损失了 30 块钱,不会再阿里云账户留超过 20 块钱得,让他们去玩
90xchun
225 天前
@revalue 这倒是一个好点子,后面再遇到可以试下,毕竟只有国内这种初中没有毕业的脚本小子喜欢用这种方式,上面源攻击者的 ip 就是国内阿里云,感觉被吃饱了没事干的小学生用来练手了
Features
225 天前
正视你的对手,是解决问题的第一步
cxh116
225 天前
最简单的攻击方法也是最有效的攻击方法,只要流量够大,cf 都得要你加钱。
90xchun
225 天前
@Features 这种攻击基本是无解的,基本等于流氓,怎么正视,源 ip 也查到了呢,难道为了 30 块钱去报警,让帽子叔叔查这个 aliyun ip 是那个在使用,犯不作撒
90xchun
225 天前
@cxh116 是的,这种方式过于简单粗暴,毫无技巧可言,最近在某音上,老是刷到,教人用工具怎么去获取人家网站的权限的,每天晚上基本相同的内容,没有点击去看,估计评论区都高潮了吧, 有 tm 这能力咋不去国安部门上班,教人拿一些小网站练手,真是浪费人才,难道不知道在中国这种通过非法手段入侵计算机系统的,都是可以直接吃牢房的吗?
weijancc
225 天前
我为了防止 OSS 被刷,用的是香港轻量 VPS, 通过 VPS 访问 OSS 内网域名(内网不计算内网费), 这样子无论怎么攻击都不会因此欠费, 假设被攻击, 只会在攻击的时候 30M 带宽的 VPS 无法访问
90xchun
225 天前
@weijancc 这个思路也不错,只是体验差点
weijancc
225 天前
30M 带宽还差啊🥲, 你博客都跑不满这个数
xmlf
225 天前
凑巧了,昨晚我 20:00 左右也受到山西太原两 ip cc 攻击了,不停刷两个图片。一觉醒来 cdn 欠费 20 元😅😅
90xchun
225 天前
@weijancc 我说的延迟问题主要是因为香港的清凉云是用的骨干网,,30mb 得带宽肯定够了
90xchun
225 天前
@xmlf 😂,我这个好像也差不多是这个时间得,我这个 ip 是 全球都有,有 7000 多个,醉了,应该是下午 4 点多用 阿里云的代理跑抓过这个 2m 左右的图,定时器任务,然后晚上直接 7000 多个肉鸡,3 个多小时跑 100 多个 g 流量,然后被阿里云直接关停了
caola
225 天前
小网站用什么 OSS ,图片资源可以放国内固定宽带的不限流量的,或者直接放国外不限流量的(便宜)。

当然你也可以学我现在正在使用的一种方式:文件服务器在内网,通过 P2P 方式加载文件资源。
资源服务器处于内网:WEB 页面通过 WebRTC + STUN/TURN 来加载内容,大部都走 STUN 了,很少的部分通过 TURN 中转。
使用 websocket 进行信道通信,web 请求某个资源时,并加入一个频道(或者说是聊天室的房间号),websocket 通知内网的服务器也加入这个房间号,然后内网服务器通过一对一(私聊)的方式发送数据给 web 端,这样就完成了数据传输。当然 WebRTC 方式比较复杂,只有其中一个文件下载的服务用上了, 所以我现在其他的服务大部分还是用 frp 来内网穿透提供服务的
90xchun
225 天前
@caola 大家看来主要的思路都还是不用,或者使用免费的方式,主要之前都是没被刷过,这下领教了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1055422

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX