如何绕过黑名单刷爆七牛云?只需一点 XFF 魔法!

114 天前
 NanoApe

他只需略微出手,就能让你 CDN 里的一个小文件一天之内被「五湖四海」访问破万次。

再给他一个神仙管理端,他能让你的 CDN 配置下发延迟近一倍,享受字(liu)节(liang)跳动的快感。

不是代理 IP 买不起,而是伪造 Header 更有性价比。

对此,五星上将麦克阿瑟曾这样评价:「早知道七牛云有这样的科技,我何必去各个注册局购买稀缺 IP 。」

大型纪录片《七牛云传奇》持续为您播出。

事情的起因经过可以看这里: https://blog.hanlin.press/2024/07/From-Shanxi-to-Qiniu/

整件事情最乐的一个地方就是,七牛云拿 X-Forwarded-For 里的信息作为实际的客户端 IP ,然后把 0.111.196.55 和 254.20.230.168 这种离谱到不能再离谱的 IP 归类为「海外」然后哐哐扣钱,属实绷不住。

这是否可以理解为七牛云的黑白名单就是个一戳就破的废物?随便伪造 XFF 就绕过去了 🤣🤣🤣

3834 次点击
所在节点    宽带症候群
21 条回复
gam2046
114 天前
其实微软也有这样的逻辑,因此才有的“无需代理”,直连 xbox cloud game
lonelykid
114 天前
离谱,按理说应该客户端发来的任何信息都默认不可信的,更何况直接拿 X-Forwarded-For 作为 IP 限流统计依据。
莫非是七牛云负载均衡的反代转发的时候直接把源 IP 直接丢了,直接转发原始的 X-Forwarded-For ?
cue
114 天前
七牛真的很烂
Nyarime
114 天前
确实。。。难绷啊
povsister
114 天前
再一次验证草台班子理论,作为一个 cdn 提供商不配置 trust proxy 实在难绷
JF65851a20L5hj7v
114 天前
属实难绷,这已经不是一般的草台班子了
yKXSkKoR8I1RcxaS
114 天前
它防了怎么赚钱捏?各大国产厂商都不会把这方面的防御做好,因为要赚黑心钱。
mknightoy
114 天前
七牛这钱赚的真轻松:)
elron
114 天前
赚黑心钱
cslive
114 天前
属实难绷,其它 cdn 是不是也是这样
macy
114 天前
几年前用过他家,很坑,当时有免费的 http 流量,https 花钱,记得 https 有个开关,他们是只要你开了这个开关,无论你访问的是 https 还是 http 的链接,都按照 https 收费,我打客服电话,客服说他们技术说了,这个流量无法区分,真是理解不了😂
NEPv5NA6R8R3Y11u
114 天前
@cslive 对的,https://v2ex.com/t/1045318 , 这个帖子 2 个月前分析了阿里云 cdn 也是 xff 获取 IP ,但阿里好一些可以获取真实 IP ,然后封禁
NanoApe
114 天前
@Oohuo 阿里云都这样,那也太缺心眼了,明摆着 XFF 就不应该可信还加到 log 里面……
oneisall8955
114 天前
https://blog.hanlin.press/2024/07/From-Shanxi-to-Qiniu/

这里又说可以防了
yuzo555
114 天前
@cslive
阿里云和七牛是这样,阿里云好像提工单才可以改为远程地址而不是 XFF
能改说明他也知道这个问题,感觉有点故意的
irainsoft
114 天前
PCDN 闹的事情真是越来越频繁了
yuezhiyuan
114 天前
就技术讨论,cdn 厂商又怎么能拿到用户的真实 ip 呢? X-Forwarded-For 可以说是协议标准了,所有人尊循着这么做。取 X-Forwarded-For 中第一个 ip ,因为后续的都是代理 ip 。虽然第一个有风险是伪造的。
只能说 cdn 确实能拿到与他建立连接的 ip ,这个 ip 可能是用户的。然后标记为真实的用户 ip 。只不过也有可能是另外个 cdn 厂商的,比如七牛套了阿里云 cdn ,那拿到建立连接的 ip 就是阿里云的并不是用户的。
如何解?理性讨论
yuezhiyuan
114 天前
@povsister 不是一回事吧? trust proxy 在 cdn 后面的程序配置的,常见是 nginx 。目的是取真实的用户 ip
但 nginx 获取真实用户 ip ,没有意义了。cdn 流量费用已经产生了。
想要的是 cdn 层面就拦截掉,不产生计费
nicoljiang
114 天前
@yuezhiyuan 有没有可能是“比如七牛套了阿里云 cdn”的话,就应该去阿里云 CDN 设置 IP 黑白名单,而不是非得在七牛云 CDN 设置?
flyqie
113 天前
@yuezhiyuan #37

问题在于,套了阿里 cdn 为什么不在阿里 cdn 一级做,反而要在七牛云这个二级来做?

你自己想想,你生产上会在这种场景下这么干吗?

X-Forwarded-For 那就更属于无稽之谈了,X-Forwarded-For 据我所知用到的场景都是能够完全保证 X-Forwarded-For 是由可信的前置网关导进来的,用户不可能伪造。

你的观点真的有些让人摸不到头脑。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1060158

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX