上个月初，本站的七牛CDN被刷了不少流量，特此记录一下，极大概率可能是某些PCDN用户刷的，不得不说这个群体是真缺德。

发现CDN被刷

因为主站服务器上行是小水管，所以所有静态文件都走了CDN来加速用户访问

这里为了描述简介，我将主站域名称为主站域名，CDN的域名称为域名A

正常情况下，域名ACDN的流量日志应该是这样的：

但是某天我收到了几条七牛的流量阈值提醒，流量变成了这样，翻了好几倍：

甚至某天夜晚两小时刷了20G：

寻找原因

以开始当然是尝试寻找刷流量的ip来源，于是下载了CDN日志，发现都是同一个ip段，用随机UA，不停访问同一个js文件。这种特征基本可以断定是被刷流量了

在思考是不是得罪人了之后，我感觉这并不是针对性的攻击，毕竟力度太小了

简单搜索，在v2ex上发现不少类似遭遇的帖子：

• 糟心阿里 CDN,恶意刷流量,域名解析已经切换源,流量依旧
• 每天晚上 20~23 时准点被山西联通 IP 刷流量现象的分析和猜测
• cdn 被盗刷
• 公司的阿里云 CDN 每晚都在被偷偷刷量

现象基本一致，甚至IP均来自山西联通，可以断定是同一事件。

不得不说搞PCDN的这群人真是缺了大德，为了赚那么点钱，显示刷BT网络，接着刷各大镜像站导致各家无奈限速，最后又来刷各家的个人站点CDN

应对措施

第一时间我停止了域名A的解析，不过没有效果。似乎时直接访问的七牛CDN节点IP并手动提交的http请求信息，我直接在七牛控制台删除了这个CDN，不再产生流量。

屏蔽刷流量访问

如果你觉得自己更新勤快，直接定前屏蔽ip段即可，这里有所有被屏蔽的IP段，这是最快的方法

我启用了之前备用的域名B，这个一直指向的是腾讯CDN，可以随时无缝切换用于备用。不过这样单纯切换也没有用，因为恶意访问的请求是带正确的UA与referer的，很难使用CDN提供商的功能进行筛选。

于是我开启了域名B腾讯CDN的访问鉴权，并将域名A指向改为我的服务器，当用户访问域名A时，会自动走一套验证逻辑，通过验证后会301跳转到带正确鉴权信息的域名B网址，没通过验证的请求直接断开tcp。这样对于主站用户来说是无感的，同时也不影响我机器的小水管上行。

具体验证逻辑不会公开，有需要的可以找我交流分享思路

部署完这些后，没有再出现异常流量：