尊敬的多吉云用户:
多吉云运维团队观测到,自 2024 年 3 月至今,中国境内有大量各类网站,在每天晚上固定时间,受到 IP
来自山西联通、江苏联通、安徽联通等地的固定网段的恶意流量攻击。现象 这类流量攻击时间规律,每天 19:50 左右开始,23:00 准时结束。
受害网站来源广泛,有多吉云 CDN 用户,也有阿里、腾讯、七牛、又拍等国内其他 CDN
服务商的用户。攻击者会挑选体积较大的静态文件,例如视频、安装包、体积较大的图片或脚本等,在攻击期间,不断请求这个文件,消耗受害网站的 CDN
流量。一开始此类攻击只针对体量稍大一些的网站,被多吉云的流量激增监测系统发现并提醒用户,用户自主或在我们协助下针对性封禁后,问题即解决。自本月初开始,攻击者开始无差别针对中小网站进行攻击,每晚都有大量中小网站新增为受害者,在不设置访问控制措施的情况下,小型网站每晚可受到约
50 ~ 300GB 的恶意流量。我们推测此类攻击可能与运营商省间结算政策施行后,某些地区的高上传家宽用户(例如 PCDN
等)为了躲避运营商封杀,降低“上传/下载”比例,人为刷下载流量的行为有关。应对
如果您是多吉云用户,目前您无需过于担心,多吉云运维团队已对这类流量攻击采取针对性行动。前几天受到攻击的用户应该能明显感觉到这两天的晚上流量小了很多。但我们仍然建议您可以为 CDN 加速域名设置访问控制措施,例如开启 CDN 域名配置中的 IP
访问频率限制、流量封顶限制等功能,实践表明,开启这些配置并合理设置封顶阈值的域名,在本次攻击中损失都非常小。另外,您也可以提前添加下列 IPv4 网段至 IP 黑白名单配置 功能的黑名单中,防患于未然(这可能会影响极少数正常用户访问,请谨慎评估):
221.205.168.0/23
60.221.231.0/24
211.90.146.0/24
122.195.22.0/24
如果您有任何疑问,请及时与在线客服或对接商务人员沟通。
以上来自多吉云CDN公告
现象
最近 CDN 平台下,每天都有新增数十个不同用户的域名受到来自山西太原联通的几个固定 IP 网段的刷流量攻击。
每天 20:00 左右开始,23:00 准时结束。
攻击者会事先人为挑选体积较大的静态文件,例如音视频 mp4、安装包 exe/apk、体积较大的图片等,然后在攻击期间,不断请求这个文件,消耗流量。
攻击者会将请求的 Referer 头设置为文件链接本身,User-Agent 则有时是随机的,有时为空。
其实数月前就有体量较大的用户遇到这个问题,我们封死之后消停了一会儿,
但最近开始无差别攻击,大站小站只要被它扫到的站,都会在这个时间段内开始高频请求。
分析
攻击者似乎并不想要将网站打死,而是慢慢地刷流量,每个域名刷的流量也不多,3 个小时内最多几百 GB。
一开始我们以为是普通的竞对行为,后来发现互联网上有蛮多类似案例反馈,来自不同 CDN 厂商平台,在 V2EX 上也看到几个类似的帖子:
https://v2ex.com/t/1055422#r_14960872
可以认为这个是一个比较广泛的现象。
另外我们分析这些被攻击的网站的日志,发现攻击开始前的几天内,都会出现一个 153.101.. 的 IP(江苏联通),使用 Java/1.8.0_91 的 User-Agent 访问被攻击的网站里的资源,我们不确定这是否与攻击有关,但也没查到这是哪家的爬虫信息,也没搜到过前人关于这个 IP 的日志,如果你也遇到了这个攻击,可以检查下日志。
猜测
攻击者没有把哪个网站当成必须要拿下的目标,甚至你把它 IP 屏蔽之后,它也不在乎,仍旧到点继续刷同一个地址,即使这个地址会被拦截 …
根据时间、攻击者行为特征,我感觉与 省间结算政策 或者该政策推开后运营商加速封杀高上传家宽(比如 PCDN 之类的)有关系。
至于到底是运营商自身拉平省际带宽差距的需要,还是政策导致的高上传家宽用户需要拉低上传下载比例来避开运营商的封杀?
我感觉是后者,观察日志发现,攻击者大部分情况下,请求的还是山西联通网内的 CDN 节点,这是达不到拉平省际带宽差异的效果的。
为什么要广撒网拿中小网站下手?我感觉是怕流量过于集中引起对方报警之类的,这样每个网站 1~200 GB 分摊下来,对于单个网站主来说,损失不大也不好立案。
本段所述只是我个人的猜测,未经证实,也未有其它证据佐证,仅供参考。
这些家伙真是闲着没事儿干
恶心坏我了,直接把我的流量给刷完了