记一次网站CDN流量被恶意盗刷事件

本文最后更新于:2024年7月26日 晚上

近期CDN域名被攻击者盗刷流量的事件频发,各位站长请多注意咯😷!

1.问题始末

7月23日23时许,博主刚从小憩中苏醒,就收到了腾讯云发来的CDN流量包不足的告警邮件,意识到站点可能遭到攻击了。

赶忙检查一看,果不其然,某个CDN加速的域名从19时53分开始,访问流量异常暴增,妥妥的是被人恶意盗刷了😅。于是乎,博主立即对该域名进行了临时限制,稍后定位漏洞并补充防护措施。终于在23时10分左右监控显示访问流量恢复正常。

说来也可笑,这小初生(小可爱)攻击的手段也是极其拙劣的,对着一张350k的图片请求17.72万次,

甚至连ip都不带变的,前前后后就用同一个境内ip,

不过,这么无脑的方法也刷了我60多G的CDN流量,得亏是流量包,如果直接扣的钱包那就损失大了,说明站点对此类攻击的防护确实存在问题。经过检查,部分CDN域名的安全访问配置确实是忘了开启,这也提醒博主不能再疏忽任何面向公网内容的安全访问配置,需要做好防护措施。

话说回来,一直以来,博主的各个小站纯粹因个人爱好而建,尚未有任何盈利目的,所以也尽可能保持着低成本运营。谁知到这么不起眼的小站也会有小可爱来搞破坏,实属小站荣幸,在此感谢你八辈祖宗😘。

2.解决方法

对于此类恶意盗刷流量的攻击,市面上比较成熟的服务商都有针对性的防御功能,一般只需要参考着文档开启和进行配置即可。

以腾讯云为例,可以参考内容分发网络CDN服务购买指南里的攻击风险预防方案,进行访问控制和流量管理,具体可用的功能参考如图。

防御措施可概括为限制访问(黑白名单、限制QPS等)和监控告警(流量封顶、邮件提醒等),建议有针对性地开启,以避免产生不必要的流量带宽消耗。

3.总结与反思

  • 任何放上公网的内容都需要有被攻击的风险意识,无论服务器还是代理托管服务,都需要定期检查漏洞和启用安全措施。
  • 监控告警、邮件提醒功能有的话一定要开启,合理设置资源用尽后的关闭和锁定机制,以在被攻击后能及时止损。
  • 等有钱,上高防!

4.后续

博主对风险域名加上了一系列安全访问的配置后,原先拉黑的ip仍然在每天同一时段进行请求,

不过均被拒绝,未造成影响。

谁知仅2天过后,博主又遭到了另一ip在同一时间段发起的相似的攻击,

好在有上一次的教训后,本次攻击未造成过多损失。

这几次盗刷流量攻击,相同的时间段(每天19~20点左右开始)、雷同的攻击手段(单一联通ip),不由让人怀疑不是简单的网络攻击。于是,博主便去网上小幅度冲浪了一下,果然,发现大量站长也反映最近CDN流量被盗刷!参考这几篇帖子:

https://liyupi.blog.csdn.net/article/details/140329773

https://blog.csdn.net/2401_86030425/article/details/140368948

https://finance.sina.com.cn/tech/roll/2024-07-10/doc-inccsaty9358501.shtml

这些盗刷攻击目前有明显的特征:ip多集中于山西,也包含全国各地一二线城市,都为联通运营商;攻击时间规律,多为每天19、20点左右开始至深夜;攻击方式为挑选体积较大的静态文件不停请求,来消耗受害网站的流量资源;目标无差别,大中小型网站都有可能遭受攻击。

目前,关于攻击者的意图有部分猜测但尚未明确,博主只想说一句:淦!😡

希望各位站长做好防备,保护好自己的钱包,坏人早日落网。


记一次网站CDN流量被恶意盗刷事件
https://blog.kevinchu.top/2024/07/24/cdn-network-attack/
作者
Kevin Chu
发布于
2024年7月24日
许可协议