记录一次云主机遭受 CC 攻击及报 AN 处理经过

5 天前
 neurocomputing

用的阿里家的云主机,由于本来不是访问量很大的网站,就没有开 WAF ,只开了全站加速

6 日早晨开始遭受 CC 攻击,早上一睁眼发现手机上受到警报信息

大量 IP 针对网站 static 文件夹下的静态文件发起请求,消耗大量流量,短时间内被刷掉几百 G

后台查看 HTTP 服务器的 log 发现是很大数量不同 IP 请求,全世界哪儿的 IP 都有,请求的都是同一个文件,初步看没法封 IP ,就把静态文件给改了个名,这样至少流量就不会掉很快

结果发现,改了文件名返回 404 之后,请求频率就更高了

于是,赶紧开了 WAF,设置对该静态文件的全部请求进行拦截,立杆见影。 同时也发现了两个事实: 1.请求频率差不多是每分钟 3000+ 2.其实只有 1 个 IP 来源,通过 http 头伪造了 IP 。(才想起来,之前看的都是 HTTP log,要是仔细查一下 req 细节,其实就早就明白了)

然后,封 IP 。 由于查到该 IP 是南方某市的,直接打了当地 110 号,但是回复说应就近报警,由我这边 GA 来调查,他们配合

想来也麻烦,目前反馈给阿里家,客服主动开了提交网警的工单,等后续。

2605 次点击
所在节点    程序员
38 条回复
daimaosix
5 天前
这不算 CC ,刷点流量报警也没用,上点规则吧,不重要可以不用 dcdn
BeautifulSoap
5 天前
被拿来刷下载流量平衡流量了?
LanhuaMa
5 天前
每次看到这种帖子都不是很理解,挂一个 cf 的 cdn 不就解决所有事情了吗,为什么总是想着要裸奔
NAVYFIELD
5 天前
@LanhuaMa cf 慢,有时候 ip 被污染还打不开啊
billccn
5 天前
这可能都不是 CC ,而是某个人在运行一个 PCDN 刷流量脚本
LanhuaMa
5 天前
@NAVYFIELD #4 好吧,所以这种低级 CC 又是一个有中国特色的问题
manami
5 天前
fail2ban 写个过滤器,请求频率超出常规的直接封禁
processzzp
4 天前
@billccn 真相了
gaobh
4 天前
PCDN 吧,论坛搜一下很多都被刷了
liuzimin
4 天前
最近还在猖狂吗?我是 7 月中招的。
airbo
4 天前
请教一下楼主,怎么看 req 细节看出来这个伪造 ip 的呀。
我之前也遇到过这种的。
miaoge2024
4 天前
没破产吗?刷了几百 G?
skylancer
4 天前
这类帖子其实我最不理解的就是洋洋洒洒所谓查了半天却不愿意第一时间上 ratelimit, 理解不能
8863824
4 天前
"通过 http 头伪造了 IP"

这是怎么伪造的,ip 不是 ip 层的协议吗?
flyqie
4 天前
@8863824 #14

建议了解一下 http 协议,因为有 proxy 的存在,所以实际上 http 应用获取到客户端 ip 的方式很多样,如果没做好的话,确实容易被人钻空子,这里说的 ip 应该是 7 层传递过去的。
fredcc
4 天前
op 开了全站加速,那么拿客户端 IP 时要用 x-forward-for ,不然拿到的就是 cdn 节点 IP ,但这个字段可以伪造。
阿里云本来就给了 X-Real-IP 字段,这个伪造不了
https://help.aliyun.com/zh/ga/use-cases/preserve-client-ip-addresses
Hardrain
4 天前
@8863824 目测是通过 X-Forwarded-For
加上没有正确配置 Trusted Proxies.
realpg
4 天前
@LanhuaMa #3
就 CF 那破速度,用户都直接放弃访问了,又不是非得看
52txr
4 天前
请教一下,Cloudflare 阻断了请求为什么服务器的 cpu 还是会很高?这种情况该如何解决?或者说明明是已经拉黑的 ip ,仍然造成负载
我的服务器:腾讯清凉云 1h2G
目前状态:仍在被攻击
采取的措施:套了 cf ,设置了防火墙规则(根据请求的 ip 和 url 特点进行直接阻断),设置了 cf 的速率限制。把主要的 ip 拉黑了。服务器也进行了设置 ip 黑名单等等
攻击特点:国内 ip 。请求的不是静态资源,而是一个页面 url ,并且带着很多莫名奇妙的参数。例如 fuckyou 、iloveyou 之类的,基本都是 404 响应。例如:
156.38.63.202 - - [06/Dec/2024:09:07:47 +0800] " GET /?action=ajax_search&content=H5V4N&l=2n0W3&nmAvgu=fuckyouhzuCVcUNdg&v=1733208924 HTTP/1.1 " 200 96534 " Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
61.241.130.31 - - [07/Dec/2024:11:40:41 +0800] " GET /category/7r0BbgD/?_=iloveyouBECAUSEPxwGK&vYnZ_y=iloveyoutxrBECAUSExxz_mcRa HTTP/1.1 " 301 162 " Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
IP 归属地 请求数
39.145.32.162 安徽 合肥 61,914
39.145.32.31 安徽 合肥 61,554
61.241.130.101 安徽 合肥 26,235
61.241.130.81 安徽 合肥 25,955
61.241.130.166 安徽 合肥 25,831
61.241.130.31 安徽 合肥 25,125
61.241.130.12 安徽 合肥 24,574
117.68.3.38 安徽 合肥 10,437
117.68.3.228 安徽 合肥 10,433
117.68.3.163 安徽 合肥 10,201
117.68.3.39 安徽 合肥 10,123
117.68.3.145 安徽 合肥 9,969
117.68.3.102 安徽 合肥 9,960
117.68.3.224 安徽 合肥 9,875
117.68.3.229 安徽 合肥 9,859
117.68.3.162 安徽 合肥 9,719
117.68.3.168 安徽 合肥 9,700
117.68.3.223 安徽 合肥 9,656
117.68.3.32 安徽 合肥 9,537
117.68.3.14 安徽 合肥 9,479
最近几个小时请求总数:155.96k
CPU 占用率 top5 的进程信息
php-fpm 11.2%
php-fpm 10.9%
php-fpm 10.9%
php-fpm 10.9%
monitor 9.8%
LanFomalhaut
4 天前
目标为静态文件,那么这种攻击方式并不能称之为 CC 攻击。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1095652

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX