腾讯云轻应用服务器上遇到这种攻击属于重放攻击吗?可以怎样堵住攻击?

2023-06-05 19:54:20 +08:00
 laqow

一直拿腾讯云轻应用服务器当 frp 用,最近想着分享一些文件给别人,开了个 nginx 服务器上传了一些静态文件让人临时下载一下。开 accesslog 看了一下,发现有时会有些来自腾讯云自己服务器在访问这些文件。一般正常人都是一批文件一起下载的,accesslog 里面看到是连续相同的 IP 在访问,但来自腾讯云的访问是单独的且一个 IP 只访问一个文件,不带重复的。我的文件名都是 20 位随机字符,而且没开目录 index ,感觉一次命中路径基本不可能。我的 frp 等对外服务都是开在各自 docker 里面,不太像 host 被挂马,挂马感觉也完全不需要再走 nginx 访问一遍下载。

想了一下会不会有可能是请求被子网内其他主机监听然后重放?症状是下面这样的:

A 型攻击的日志
114.132.203.161 - - [05/Jun/2023:11:46:32 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 5601404 "http://xxx/download/play.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36" "-"
106.55.201.95 - - [05/Jun/2023:11:46:38 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 6505301 "-" "-" "-"

它先拿 114.132.203.161 这个重放了 play.html 的请求,没把文件下载完,然后换了个 IP 重新下载了文件。它这个 UA 看着像哪个 headless browser 的。

B 型攻击的日志
我的 IP - - [05/Jun/2023:18:35:58 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"
220.196.160.96 - - [05/Jun/2023:18:46:02 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"

我开始以为是爬虫爬的,设了 referer 和 UA 的过滤,然后想着拿 curl 试一下,结果隔了几分钟有另外一个 IP 照着我的请求来了一次。

所以这种是腾讯云的问题吗?还有什么办法发现攻击源以及防止攻击?

1453 次点击
所在节点    站长
5 条回复
sduoduo233
2023-06-05 20:04:13 +08:00
最简单的方法就是把整个 ip 段屏蔽
laqow
2023-06-05 20:14:25 +08:00
感觉看起来很像是了 https://www.v2ex.com/t/934289 https://www.v2ex.com/t/860476 。如果只是应对在服务器对有限人群分享静态文件这种有没有比较简单的办法应对这种问题?比如给 nginx 加个设置能自己在头里加时间戳的?
giaodadi
2023-06-05 23:30:33 +08:00
开了 https 吗
IvanLi127
2023-06-05 23:38:41 +08:00
联系腾讯云看看呗,难得有客服,不找白不找🤣
laqow
2023-06-06 11:40:42 +08:00
@giaodadi 没开草率了,之前没想明白,不敢绑国外域名到腾讯云,想着买腾讯的域名还要交一笔钱卖一波身份,想着每次就开个 http 一两天的事情。

它这个反应速度比想象中快多了,应该就是邻居抓的包,不加密的话应该直接抓包就能获得所有经过的数据。是不是它那个“内网互联”不仅限于同一帐号下的机器,实际上所有机器都是互联的?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/946054

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX