记一次网站CDN流量被恶意盗刷事件

近期CDN域名被攻击者盗刷流量的事件频发，各位站长请多注意咯😷！

1.问题始末

7月23日23时许，博主刚从小憩中苏醒，就收到了腾讯云发来的CDN流量包不足的告警邮件，意识到站点可能遭到攻击了。

赶忙检查一看，果不其然，某个CDN加速的域名从19时53分开始，访问流量异常暴增，妥妥的是被人恶意盗刷了😅。于是乎，博主立即对该域名进行了临时限制，稍后定位漏洞并补充防护措施。终于在23时10分左右监控显示访问流量恢复正常。

说来也可笑，这小初生(小可爱)攻击的手段也是极其拙劣的，对着一张350k的图片请求17.72万次，

甚至连ip都不带变的，前前后后就用同一个境内ip，

不过，这么无脑的方法也刷了我60多G的CDN流量，得亏是流量包，如果直接扣的钱包那就损失大了，说明站点对此类攻击的防护确实存在问题。经过检查，部分CDN域名的安全访问配置确实是忘了开启，这也提醒博主不能再疏忽任何面向公网内容的安全访问配置，需要做好防护措施。

话说回来，一直以来，博主的各个小站纯粹因个人爱好而建，尚未有任何盈利目的，所以也尽可能保持着低成本运营。谁知到这么不起眼的小站也会有小可爱来搞破坏，实属小站荣幸，在此感谢你八辈祖宗😘。

2.解决方法

对于此类恶意盗刷流量的攻击，市面上比较成熟的服务商都有针对性的防御功能，一般只需要参考着文档开启和进行配置即可。

以腾讯云为例，可以参考内容分发网络CDN服务购买指南里的攻击风险预防方案，进行访问控制和流量管理，具体可用的功能参考如图。

防御措施可概括为限制访问（黑白名单、限制QPS等）和监控告警（流量封顶、邮件提醒等），建议有针对性地开启，以避免产生不必要的流量带宽消耗。

3.总结与反思

• 任何放上公网的内容都需要有被攻击的风险意识，无论服务器还是代理托管服务，都需要定期检查漏洞和启用安全措施。
• 监控告警、邮件提醒功能有的话一定要开启，合理设置资源用尽后的关闭和锁定机制，以在被攻击后能及时止损。
• 等有钱，上高防！

4.后续

博主对风险域名加上了一系列安全访问的配置后，原先拉黑的ip仍然在每天同一时段进行请求，

不过均被拒绝，未造成影响。

谁知仅2天过后，博主又遭到了另一ip在同一时间段发起的相似的攻击，

好在有上一次的教训后，本次攻击未造成过多损失。

这几次盗刷流量攻击，相同的时间段（每天19~20点左右开始）、雷同的攻击手段（单一联通ip），不由让人怀疑不是简单的网络攻击。于是，博主便去网上小幅度冲浪了一下，果然，发现大量站长也反映最近CDN流量被盗刷！参考这几篇帖子：

https://liyupi.blog.csdn.net/article/details/140329773

https://blog.csdn.net/2401_86030425/article/details/140368948

https://finance.sina.com.cn/tech/roll/2024-07-10/doc-inccsaty9358501.shtml

这些盗刷攻击目前有明显的特征：ip多集中于山西，也包含全国各地一二线城市，都为联通运营商；攻击时间规律，多为每天19、20点左右开始至深夜；攻击方式为挑选体积较大的静态文件不停请求，来消耗受害网站的流量资源；目标无差别，大中小型网站都有可能遭受攻击。

目前，关于攻击者的意图有部分猜测但尚未明确，博主只想说一句：淦！😡

希望各位站长做好防备，保护好自己的钱包，坏人早日落网。