先说损失,被刷了 70 多RMB,还好止损相对即时了,亏得不算多,PCDN 真可恶啊。
600多G流量,100多万次请求。
怎么发现的
先是看到鱼皮大佬发了一篇推文突发,众多网站流量被盗刷!我特么也中招了。
抱着看热闹的心情点开阅读了。。。心想,看看自己的中招没,结果就真中招了 🍉。
被盗刷资源分析
笔者在 缤纷云,七牛云,又拍云 都有存放一些图片资源。本次中招的是 缤纷云,下面是被刷的资源。
IP来源
查了几个 IP 和文章里描述的大差不差,都是来自山西联通的请求。
大小流量计算
按日志时间算的话,QPS 大概在 20 左右,单文件 632 K,1分钟大概就760MB ,1小时约 45G 左右。
看了几天前的日志,都是 1 小时刷 40G 就停下,从 9 点左右开始,刷到 12 点。
| 07-09 | 07-08 |
|---|---|
 |
 |
但是 10 号的就变多了,60-70 GB 1次了。也是这天晚上才开始做的反制,不知道是不是加策略的时候影响到它计算流量大小了 😝。
反制手段
Referer 限制
通过观察这些资源的请求头,发现 Referer 和请求资源一致,通常情况下,不应该这样,应该是笔者的博客地址https://sugarat.top。
于是第一次就限制了 Referer 头不能为空,同时将 cdn.bitiful.sugarat.top 的来源都拉黑。
这个办法还比较好使,后面的请求都给 403 了。
但这个还是临时解决方案,在 V 站上看到讨论,说资源是人为筛选的,意味着 Referer 换个资源还是会发生变化。
IP 限制
有 GitHub 仓库 unclemcz/ban-pcdn-ip 收集了此次恶意刷流量的 IP。
CDN 平台一般支持按 IP 或 IP 段屏蔽请求(虽然后者可能会屏蔽一些正常请求),可以将 IP 段配置到平台上,这样就能限制掉这些 IP 的请求。
缤纷云上这块限制还比较弱,我就直接把缤纷云的 CDN 直接关了,七牛云和又拍云上都加上了 IP 和 地域运营商的限制,等这阵风头过去再恢复。
| 七牛云 | 又拍云 |
|---|---|
 |
 |
限速
限制单 IP 的QPS和峰值流量。
但是这个只能避免说让它刷得慢一点,还是不治本。
最后
用了CDN的话,日常还是多看看,能加阈值控制的平台优先加上,常规的访问控制防盗链的啥的安排上。
![[HNCTF 2022 WEEK2]ez_SSTI](https://img2024.cnblogs.com/blog/3390865/202407/3390865-20240713163043663-1507270589.png)
