遇到脚本小子(小丑)的 CC 攻击,大家有什么好的建议?

125 天前
 90xchun

事情起因

一觉醒来就就发现阿里云要准备删除我的数据,这还不起来看看,第一反应是延停额度应该没有这么快用完呢

按照常理来说,这个账户上面并没有其他服务得,只有 OSS + CDN ,所有大概率是 CDN 被人搞了,登录控制台一看,果不其然

刚开始还以为是程序 bug ,导致程序疯狂请求 zrlog 的插件下载文件,所有第一怀疑的是 https://dl.zrlog.com 这个域名,但是简单的过滤一看,并不是这个域名。 第二感觉是 https://www.zrlog.com 程序主页被恶意攻击了,但一看也不是呢,通过对其他几个域名排除,发现是 https://xiaochun-blog.zrlog.com 这个域名流量很大,但是这个域名里面存放基本都是图片文件,那基本排除是程序本身的问题

小丑干了些什么

小丑就是小丑,机器都得 996 ,大晚上的还要为小丑们干这种恶心人的活,建议你重开一局吧

日志

一堆请求都指向了一张图片,看来不用分析了,小丑们最最引以为傲的技术 DDOS 或者 CC ,因为高端不会,也学不来,简单看了一眼 ip ,基本全球各地的都有

用这么多的 ip 就为了访问一张图片

累计请求了 7w 来次,平均到每个 IP 也就 10 个请求,妥妥的 CC 攻击了

找出小丑

小丑可能不知道 .log 文件是干嘛的,所有以为自己能逃之夭夭了吗?

通过简单的分析,小丑就浮出水面了,本身博客访问量就在 2 位数,通过完整的日志分析,小丑在日志文件面前可谓是一丝不挂

小丑原来躲在 阿里云的机器后面

59.82.135.85 -> Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.3579.18 Safari/537.36

为什么确定这就是小丑呢,因为小丑还有另外一个 IP

这两个 ip 都是 阿里云 ip ,基本可以断定的是小丑是使用了 代理机器抓取了博客的部分内容,然后选取了一张较大的图片,然后加入了自己的小丑的帽子(工具包)里,可悲的是这 7w 多次请求大部分都被 CDN 缓存击中了,也就是说这等于打到棉花上面了,加上本来就已经是静态的 html 托管的 OSS ,那这种弟弟行为为了撒,就为了让我一大清早的起来给 aliyun 充值吗?

小丑为什么只能是小丑

因为这种人只会 CC/DDOS 只会用很低级手段,来博取观众的笑声,所有才被叫小丑,马戏团的小丑,人家是有工资的,那你这么搞一个本身不盈利的网站,请问小丑们的工资找谁领? ISP 运营商你爹还是你娘?

小丑战绩

如何防止 CC

从技术来说,CC 可以防止的,比如 cloudflare 的 5 秒盾,无非是做好流量清洗( RMB 玩家),避免非正常用户请求压垮源站

DDOS 才是真流氓,但是小丑们的肉鸡数量在大厂 CDN 面前也是弟中弟一般无二,所有 CC 耗光观众账户余额,被迫关闭站点,这条路够这些互联网小丑炫耀一辈子了

最后: CloudFlare 真大善人也,要赚就赚有钱人的钱


原文链接: https://xiaochun.zrlog.com/ulgy-script-boy.html


说实话我还是希望用国内的 cdn ,即使收点费得,已经上了 dcdn 得 WAF 了(估计没有用,个人还是趋向于 cloudflare 的那种直接上 5 秒盾的)

分享到这里,是希望了解下大家遇到这种脚本小子的 CC 攻击,都有什么应对方案

10239 次点击
所在节点    问与答
104 条回复
revalue
125 天前
我是小白冒昧一答。
适合小白对象存储的:腾讯云对象存储套 dns 。dns 可以设置 qps 限制 啥限制,这样可以防护对象存储(亲自试用了一个多月目前感觉尚可)网上搜一下腾讯云 dns 怎么防护
90xchun
125 天前
dns qps 限制估计有点悬额,毕竟这些请求是在 2 个多小时完成的,二两个小时就有 7200 秒,而攻击的源 ip 就有 7 前多个,限制不到这种情况得
90xchun
125 天前
@revalue 估计悬
wushenlun
125 天前
无解,没钱别用 oss/cdn ,被 CC 攻击了,拦截页面也是有流量开销的,cf 只能说算是个奇葩了
revalue
125 天前
@90xchun 海外的,分开用 cloudfare 啊。海外这种几千个 ip 的太多了,没那个心思自己对抗
gaobh
125 天前
我跟你一样,也是被 cc 攻击图片,每天晚上 8 点到 11 点有 100 万请求,开了 waf 发现都是山西的请求,直接把山西全省禁掉了,幸亏都是主站图片,对业务没影响哈哈。
90xchun
125 天前
@wushenlun 其实这次损失了 30 块钱,不会再阿里云账户留超过 20 块钱得,让他们去玩
90xchun
125 天前
@revalue 这倒是一个好点子,后面再遇到可以试下,毕竟只有国内这种初中没有毕业的脚本小子喜欢用这种方式,上面源攻击者的 ip 就是国内阿里云,感觉被吃饱了没事干的小学生用来练手了
Features
125 天前
正视你的对手,是解决问题的第一步
cxh116
125 天前
最简单的攻击方法也是最有效的攻击方法,只要流量够大,cf 都得要你加钱。
90xchun
125 天前
@Features 这种攻击基本是无解的,基本等于流氓,怎么正视,源 ip 也查到了呢,难道为了 30 块钱去报警,让帽子叔叔查这个 aliyun ip 是那个在使用,犯不作撒
90xchun
125 天前
@cxh116 是的,这种方式过于简单粗暴,毫无技巧可言,最近在某音上,老是刷到,教人用工具怎么去获取人家网站的权限的,每天晚上基本相同的内容,没有点击去看,估计评论区都高潮了吧, 有 tm 这能力咋不去国安部门上班,教人拿一些小网站练手,真是浪费人才,难道不知道在中国这种通过非法手段入侵计算机系统的,都是可以直接吃牢房的吗?
weijancc
125 天前
我为了防止 OSS 被刷,用的是香港轻量 VPS, 通过 VPS 访问 OSS 内网域名(内网不计算内网费), 这样子无论怎么攻击都不会因此欠费, 假设被攻击, 只会在攻击的时候 30M 带宽的 VPS 无法访问
90xchun
125 天前
@weijancc 这个思路也不错,只是体验差点
weijancc
125 天前
30M 带宽还差啊🥲, 你博客都跑不满这个数
xmlf
125 天前
凑巧了,昨晚我 20:00 左右也受到山西太原两 ip cc 攻击了,不停刷两个图片。一觉醒来 cdn 欠费 20 元😅😅
90xchun
125 天前
@weijancc 我说的延迟问题主要是因为香港的清凉云是用的骨干网,,30mb 得带宽肯定够了
90xchun
125 天前
@xmlf 😂,我这个好像也差不多是这个时间得,我这个 ip 是 全球都有,有 7000 多个,醉了,应该是下午 4 点多用 阿里云的代理跑抓过这个 2m 左右的图,定时器任务,然后晚上直接 7000 多个肉鸡,3 个多小时跑 100 多个 g 流量,然后被阿里云直接关停了
caola
125 天前
小网站用什么 OSS ,图片资源可以放国内固定宽带的不限流量的,或者直接放国外不限流量的(便宜)。

当然你也可以学我现在正在使用的一种方式:文件服务器在内网,通过 P2P 方式加载文件资源。
资源服务器处于内网:WEB 页面通过 WebRTC + STUN/TURN 来加载内容,大部都走 STUN 了,很少的部分通过 TURN 中转。
使用 websocket 进行信道通信,web 请求某个资源时,并加入一个频道(或者说是聊天室的房间号),websocket 通知内网的服务器也加入这个房间号,然后内网服务器通过一对一(私聊)的方式发送数据给 web 端,这样就完成了数据传输。当然 WebRTC 方式比较复杂,只有其中一个文件下载的服务用上了, 所以我现在其他的服务大部分还是用 frp 来内网穿透提供服务的
90xchun
125 天前
@caola 大家看来主要的思路都还是不用,或者使用免费的方式,主要之前都是没被刷过,这下领教了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1055422

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX