上个月初,本站的七牛CDN被刷了不少流量,特此记录一下,极大概率可能是某些PCDN用户刷的,不得不说这个群体是真缺德。
发现CDN被刷
因为主站服务器上行是小水管,所以所有静态文件都走了CDN来加速用户访问
这里为了描述简介,我将主站域名称为
主站域名
,CDN的域名称为域名A
正常情况下,域名A
CDN的流量日志应该是这样的:
但是某天我收到了几条七牛的流量阈值提醒,流量变成了这样,翻了好几倍:
甚至某天夜晚两小时刷了20G:
寻找原因
以开始当然是尝试寻找刷流量的ip来源,于是下载了CDN日志,发现都是同一个ip段,用随机UA,不停访问同一个js文件。这种特征基本可以断定是被刷流量了
在思考是不是得罪人了之后,我感觉这并不是针对性的攻击,毕竟力度太小了
简单搜索,在v2ex上发现不少类似遭遇的帖子:
现象基本一致,甚至IP均来自山西联通,可以断定是同一事件。
不得不说搞PCDN的这群人真是缺了大德,为了赚那么点钱,显示刷BT网络,接着刷各大镜像站导致各家无奈限速,最后又来刷各家的个人站点CDN
应对措施
第一时间我停止了域名A
的解析,不过没有效果。似乎时直接访问的七牛CDN节点IP并手动提交的http请求信息,我直接在七牛控制台删除了这个CDN,不再产生流量。
屏蔽刷流量访问
如果你觉得自己更新勤快,直接定前屏蔽ip段即可,这里有所有被屏蔽的IP段,这是最快的方法
我启用了之前备用的域名B
,这个一直指向的是腾讯CDN,可以随时无缝切换用于备用。不过这样单纯切换也没有用,因为恶意访问的请求是带正确的UA与referer的,很难使用CDN提供商的功能进行筛选。
于是我开启了域名B
腾讯CDN的访问鉴权,并将域名A
指向改为我的服务器,当用户访问域名A
时,会自动走一套验证逻辑,通过验证后会301跳转到带正确鉴权信息的域名B
网址,没通过验证的请求直接断开tcp。这样对于主站用户来说是无感的,同时也不影响我机器的小水管上行。
具体验证逻辑不会公开,有需要的可以找我交流分享思路
部署完这些后,没有再出现异常流量: