如何绕过黑名单刷爆七牛云?只需一点 XFF 魔法!

213 天前
NanoApe  NanoApe

他只需略微出手,就能让你 CDN 里的一个小文件一天之内被「五湖四海」访问破万次。

再给他一个神仙管理端,他能让你的 CDN 配置下发延迟近一倍,享受字(liu)节(liang)跳动的快感。

不是代理 IP 买不起,而是伪造 Header 更有性价比。

对此,五星上将麦克阿瑟曾这样评价:「早知道七牛云有这样的科技,我何必去各个注册局购买稀缺 IP 。」

大型纪录片《七牛云传奇》持续为您播出。

事情的起因经过可以看这里: https://blog.hanlin.press/2024/07/From-Shanxi-to-Qiniu/

整件事情最乐的一个地方就是,七牛云拿 X-Forwarded-For 里的信息作为实际的客户端 IP ,然后把 0.111.196.55 和 254.20.230.168 这种离谱到不能再离谱的 IP 归类为「海外」然后哐哐扣钱,属实绷不住。

这是否可以理解为七牛云的黑白名单就是个一戳就破的废物?随便伪造 XFF 就绕过去了 🤣🤣🤣

4046 次点击
所在节点   宽带症候群  宽带症候群
21 条回复
gam2046
gam2046
213 天前
其实微软也有这样的逻辑,因此才有的“无需代理”,直连 xbox cloud game
lonelykid
lonelykid
213 天前
离谱,按理说应该客户端发来的任何信息都默认不可信的,更何况直接拿 X-Forwarded-For 作为 IP 限流统计依据。
莫非是七牛云负载均衡的反代转发的时候直接把源 IP 直接丢了,直接转发原始的 X-Forwarded-For ?
cue
cue
213 天前
七牛真的很烂
Nyarime
Nyarime
213 天前
确实。。。难绷啊
povsister
povsister
213 天前
再一次验证草台班子理论,作为一个 cdn 提供商不配置 trust proxy 实在难绷
JF65851a20L5hj7v
JF65851a20L5hj7v
213 天前
属实难绷,这已经不是一般的草台班子了
yKXSkKoR8I1RcxaS
yKXSkKoR8I1RcxaS
213 天前
它防了怎么赚钱捏?各大国产厂商都不会把这方面的防御做好,因为要赚黑心钱。
mknightoy
mknightoy
213 天前
七牛这钱赚的真轻松:)
elron
elron
213 天前
赚黑心钱
cslive
cslive
213 天前
属实难绷,其它 cdn 是不是也是这样
macy
macy
213 天前
几年前用过他家,很坑,当时有免费的 http 流量,https 花钱,记得 https 有个开关,他们是只要你开了这个开关,无论你访问的是 https 还是 http 的链接,都按照 https 收费,我打客服电话,客服说他们技术说了,这个流量无法区分,真是理解不了😂
NEPv5NA6R8R3Y11u
NEPv5NA6R8R3Y11u
213 天前
@cslive 对的,https://v2ex.com/t/1045318 , 这个帖子 2 个月前分析了阿里云 cdn 也是 xff 获取 IP ,但阿里好一些可以获取真实 IP ,然后封禁
NanoApe
NanoApe
213 天前
@Oohuo 阿里云都这样,那也太缺心眼了,明摆着 XFF 就不应该可信还加到 log 里面……
oneisall8955
oneisall8955
213 天前
https://blog.hanlin.press/2024/07/From-Shanxi-to-Qiniu/

这里又说可以防了
yuzo555
yuzo555
213 天前
@cslive
阿里云和七牛是这样,阿里云好像提工单才可以改为远程地址而不是 XFF
能改说明他也知道这个问题,感觉有点故意的
irainsoft
irainsoft
212 天前
PCDN 闹的事情真是越来越频繁了
yuezhiyuan
yuezhiyuan
212 天前
就技术讨论,cdn 厂商又怎么能拿到用户的真实 ip 呢? X-Forwarded-For 可以说是协议标准了,所有人尊循着这么做。取 X-Forwarded-For 中第一个 ip ,因为后续的都是代理 ip 。虽然第一个有风险是伪造的。
只能说 cdn 确实能拿到与他建立连接的 ip ,这个 ip 可能是用户的。然后标记为真实的用户 ip 。只不过也有可能是另外个 cdn 厂商的,比如七牛套了阿里云 cdn ,那拿到建立连接的 ip 就是阿里云的并不是用户的。
如何解?理性讨论
yuezhiyuan
212 天前
@povsister 不是一回事吧? trust proxy 在 cdn 后面的程序配置的,常见是 nginx 。目的是取真实的用户 ip
但 nginx 获取真实用户 ip ,没有意义了。cdn 流量费用已经产生了。
想要的是 cdn 层面就拦截掉,不产生计费
nicoljiang
212 天前
@yuezhiyuan 有没有可能是“比如七牛套了阿里云 cdn”的话,就应该去阿里云 CDN 设置 IP 黑白名单,而不是非得在七牛云 CDN 设置?
flyqie
211 天前
@yuezhiyuan #37

问题在于,套了阿里 cdn 为什么不在阿里 cdn 一级做,反而要在七牛云这个二级来做?

你自己想想,你生产上会在这种场景下这么干吗?

X-Forwarded-For 那就更属于无稽之谈了,X-Forwarded-For 据我所知用到的场景都是能够完全保证 X-Forwarded-For 是由可信的前置网关导进来的,用户不可能伪造。

你的观点真的有些让人摸不到头脑。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1060158

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX