V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yuzo555
V2EX  ›  分享发现

每天晚上 20~23 时准点被山西联通 IP 刷流量现象的分析和猜测

  •  7
     
  •   yuzo555 · 172 天前 · 8643 次点击
    这是一个创建于 172 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现象

    最近 CDN 平台下,每天都有新增数十个不同用户的域名受到来自山西太原联通的几个固定 IP 网段的刷流量攻击。

    每天 20:00 左右开始,23:00 准时结束。

    攻击者会事先人为挑选体积较大的静态文件,例如音视频 mp4 、安装包 exe/apk 、体积较大的图片等,然后在攻击期间,不断请求这个文件,消耗流量。

    攻击者会将请求的 Referer 头设置为文件链接本身,User-Agent 则有时是随机的,有时为空。

    其实数月前就有体量较大的用户遇到这个问题,我们封死之后消停了一会儿,

    但最近开始无差别攻击,大站小站只要被它扫到的站,都会在这个时间段内开始高频请求。

    分析

    攻击者似乎并不想要将网站打死,而是慢慢地刷流量,每个域名刷的流量也不多,3 个小时内最多几百 GB 。

    一开始我们以为是普通的竞对行为,后来发现互联网上有蛮多类似案例反馈,来自不同 CDN 厂商平台,在 V2EX 上也看到几个类似的帖子:

    https://v2ex.com/t/1055422#r_14960872

    https://v2ex.com/t/1045318

    可以认为这个是一个比较广泛的现象。

    另外我们分析这些被攻击的网站的日志,发现攻击开始前的几天内,都会出现一个 153.101.*.* 的 IP (江苏联通) ,使用 Java/1.8.0_91 的 User-Agent 访问被攻击的网站里的资源,我们不确定这是否与攻击有关,但也没查到这是哪家的爬虫信息,也没搜到过前人关于这个 IP 的日志,如果你也遇到了这个攻击,可以检查下日志。

    猜测

    攻击者没有把哪个网站当成必须要拿下的目标,甚至你把它 IP 屏蔽之后,它也不在乎,仍旧到点继续刷同一个地址,即使这个地址会被拦截...

    根据时间、攻击者行为特征,我感觉与 省间结算政策 或者该政策推开后运营商加速封杀高上传家宽(比如 PCDN 之类的)有关系。

    至于到底是运营商自身拉平省际带宽差距的需要,还是政策导致的高上传家宽用户需要拉低上传下载比例来避开运营商的封杀?

    我感觉是后者,观察日志发现,攻击者大部分情况下,请求的还是山西联通网内的 CDN 节点,这是达不到拉平省际带宽差异的效果的。

    为什么要广撒网拿中小网站下手?我感觉是怕流量过于集中引起对方报警之类的,这样每个网站 1~200 GB 分摊下来,对于单个网站主来说,损失不大也不好立案。

    本段所述只是我个人的猜测,未经证实,也未有其它证据佐证,仅供参考。

    应对

    我们监控到异常的 CDN 域名后,会主动屏蔽相关 IP 访问,你也可以尝试屏蔽下列 IPv4 网段:

    221.205.168.0/23
    60.221.231.0/24
    211.90.146.0/24
    

    后续不知道会不会更换 IP ,但如果上述的猜测正确,攻击者自己频繁更换 IP 应该是不利于他所要实现的目的的。

    另外,CDN 端开启限流措施,例如 IP 访问频率限制、流量封顶限制等访问控制功能,也是非常有必要的,可以有效减少恶意攻击产生的流量,也能在发生攻击后尽快提醒你做出应对。

    第 1 条附言  ·  169 天前
    更新 IP 段:
    118.81.184.0/23
    124.163.207.0/24
    124.163.208.0/24
    183.185.14.0/24
    来源:
    近期部分加速域名晚间遭遇恶意流量事件说明: https://www.dogecloud.com/announcement/26
    第 2 条附言  ·  156 天前
    最近两天活跃的恶意 IPv4 网段:
    60.221.195.0/24
    60.220.182.0/24
    61.160.233.0/24
    来源:上方多吉云公告。
    57 条回复    2024-08-15 15:16:55 +08:00
    adrianzhang
        1
    adrianzhang  
       172 天前
    https://www.v2ex.com/t/1055422 里面参与过讨论,觉得最佳防护措施是:
    开启资源下载限速,按平时流量设置阈值,超过后限速。
    qwedcxsaz
        2
    qwedcxsaz  
       172 天前
    看头像就知道是 dogecloud
    Meteora626
        3
    Meteora626  
       172 天前
    百分之 90 就是刷 pcdn 的,以前拿 pt 刷,现在发现国内 cdn 更好刷。。。
    czfy
        4
    czfy  
       172 天前
    应该就是 PCDN 用户
    一开始它们是去吸血 BT 来增加它们的下载流量 https://v2ex.com/t/1029736
    BT 社区开始有了反制措施之后,现在看来它们又有了新的手段
    leo1024
        5
    leo1024  
       172 天前
    我的个站 cdn 也被山西联通的 ip 刷了一百 G ,损失 30 元的样子,平时自己用一个月可能就消耗几毛,之前主要是这几个 ip 在刷,刷的时间点和楼主也是差不多。但是七牛云没有 ip 阈值限制,流量阈值告警又有半小时延迟,没啥办法已经吧 cdn 域名下线了:
    221.205.169.156
    211.90.146.204
    221.205.169.45
    221.205.169.30
    kaedeair
        6
    kaedeair  
       172 天前
    这几个 ip 都是家宽的,要么是肉鸡要么就是 pcdn ,看 OP 描述不太像是肉鸡。据我观察,家里宽带 ip 是在两个 16 网段池子里的,很长时间都不会变动,封禁相应的 ip 段应该是比较有效的方法
    peasant
        7
    peasant  
       172 天前
    一个跑 PCDN 的朋友给我分享了他用来刷下载量的工具,一个网站 net.arsn.cn 旧版可以自己填链接来刷, 只需要打开浏览器挂着就行了
    yuzo555
        8
    yuzo555  
    OP
       171 天前
    @Meteora626 @czfy 国内 CDN 静态文件缓存后,不做限制的情况下,能直接把他带宽跑满,比 PT 站效率高太多了...
    @kaedeair 封 /16 影响面太大,一下打死好多正常家宽用户。只能先封 /24 等他 IP 变化再跟进了
    @peasant 这种其实好防,浏览器里面没办法伪造 Referer/UA 这些请求头(插件除外)。这次的攻击者应该是定制的程序搞的
    coolcoffee
        9
    coolcoffee  
       171 天前
    多亏了那些 PCDN 用户,现在阿里云 iso 的镜像下载速度已经提升到 500KB/s 了😂
    1874w
        10
    1874w  
       171 天前
    我的也是,一模一样,也是江苏山西那一块的中国联通的宽带在刷,从 6 号开始被刷直到现在。
    我目前配置的措施如下:
    1. 防盗链已配置,但是没用,他的 referer 是图片本身的 url ,设备什么的都识别不出来
    2. IP 黑名单配置,但是他会换 IP ,所以我直接封禁了 IP 段,目前效果很明显,全是 514 错误,没有计费流量
    ​3. IP 访问限频配置 单 IP 单节点 为 1QPS ,挺有效果的,514 的错误码暴增,但是只是增加了他攻击的时长
    ​4. 设置预警和流量上限,60 分钟累计一定流量就暂时关闭 CDN 服务。万一他换了 IP ,这个措施也能帮助我减少损失,也能及时添加黑名单。
    5. 基本上只盯着那一个文件,所以目前已经删除了这个罪恶的源头图片,替换为新的图片 url 了
    6. 设置 CDN 的 514 错误码缓存,遇到 514 错误,即黑名单/访问限频配置错误,CDN 会缓存 1 天(最长设置一天)

    截止 2024/07/08 22:05 分他还是用的之前的 IP ,所以目前被黑名单限制住了

    IP 地址为:
    211.90.146.211
    221.205.169.251
    221.205.169.166

    我的 IP 黑名单规则为
    211.90.146.0/24
    221.205.169.0/24
    yuezhiyuan
        11
    yuezhiyuan  
       171 天前
    这行为够恶心的
    Tianli0
        12
    Tianli0  
       171 天前
    我也被攻击了,从 7.6 开始在每天晚上 19:45 左右开始刷。
    在我的 CDN 日志里找到了
    "ClientIP":"153.101.64.39","RequestReferer":"-","RequestUA":"Java/1.8.0_91"
    这个 IP 来源于江苏联通
    Tianli0
        13
    Tianli0  
       171 天前
    @Tianli0 最早出现在 5 号,爬取了我网站大部分图片,6 号晚上就开始针对一张图片刷量
    tyzrj766
        14
    tyzrj766  
       170 天前
    103.150.11.45
    被这个江苏 IP 刷了几天,行为类似,倒是没见到山西 IP ,CDN 流量包剩的不多了才发现,关了 CDN 后又继续对 VPS 刷流量,即使 VPS 的带宽只有 3M ,防火墙封了 IP 后倒是没再来。
    tyzrj766
        15
    tyzrj766  
       170 天前
    @tyzrj766 又看了下是被江苏、安徽两个地方的刷了几天,也是晚上 7 点到 11 点,每小时 1-3GB ,被刷了 200 个 G 。
    yuzo555
        16
    yuzo555  
    OP
       170 天前
    @Tianli0 确实是这个 IP ,可能是攻击者用来寻找目标的 IP
    yuzo555
        17
    yuzo555  
    OP
       170 天前
    @tyzrj766 36.35.*.* ?
    LuminousKK
        18
    LuminousKK  
       170 天前
    恶心死了,我也被太原联通的 IP 刷了,拉黑了这两个 IP 段
    221.205.168.0/24
    221.205.169.0/24
    ShiroSekai
        20
    ShiroSekai  
       169 天前 via Android
    前几天先是把楼主发的 3 个 IP 段加进黑名单了,今天又遇到几个新的 IP 来自 183.185.14.0/24 ,索性把山西联通全封了,下面是整理的 IP 段,自取。

    61.134.192.0/18
    61.240.32.0/21
    61.240.42.0/19
    118.81.0.0/16
    171.116.0.0/18
    171.120.0.0/16
    183.184.0.0/17
    183.191.0.0/16
    202.97.128.0/22
    202.97.146.0/24
    202.97.151.0/24
    202.97.154.0/23
    202.99.192.0/24
    202.99.197.0/24
    202.99.200.0/24
    202.99.203.0/24
    202.99.207.0/22
    202.99.212.0/24
    202.99.216.0/21
    203.93.113.192/26
    210.52.58.0/24
    210.82.139.0/24
    210.82.192.0/24
    211.90.80.0/21
    211.93.164.0/22
    218.26.0.0/19
    218.26.42.0/23
    218.26.52.0/22
    218.26.66.0/24
    218.26.80.0/21
    218.26.93.0/24
    218.26.96.0/19
    218.26.176.0/21
    218.26.184.0/22
    218.26.200.0/22
    218.26.214.0/22
    218.26.220.0/24
    218.26.224.0/21
    218.26.235.0/24
    218.26.241.0/22
    218.26.246.0/24
    218.26.248.0/24
    218.26.250.0/23
    218.26.254.0/23
    ShiroSekai
        21
    ShiroSekai  
       169 天前 via Android
    @ShiroSekai 虽然杀伤性很大,但无非也就山西联通的用户访问不到了,这次事件过去了再删除黑名单也无妨,鬼知道他会拿哪个 IP 刷你😇
    9i5NngJHI4P7dm42
        22
    9i5NngJHI4P7dm42  
       169 天前
    5 秒盾也防不住吗?
    ricolxwz
        23
    ricolxwz  
       169 天前
    可以配置签名 url
    liuzimin
        24
    liuzimin  
       169 天前 via Android
    话说 PCDN 用户就是所谓的玩 PT 的用户吗?
    linyongxin
        25
    linyongxin  
       169 天前
    省间结算政策,可能是为了掩盖 pcdn
    hahade
        26
    hahade  
       169 天前
    今天我们公司群也在讨论这个问题,好像是同一个问题,也是每天晚上 8 点到 11 点。
    renaissancezz
        27
    renaissancezz  
       169 天前
    @leo1024 我打电话问了七牛云售后,要提交 CDN 工单才能开启 QPS 限制,还没有对流量的限制。
    captray
        28
    captray  
       169 天前
    Soar360
        29
    Soar360  
       169 天前
    unclemcz
        30
    unclemcz  
       169 天前   ❤️ 1
    @Soar360 29 你链接最后的清单要更新一下,我之前的梳理有问题。
    Soar360
        31
    Soar360  
       169 天前
    @unclemcz 已更新,并附上了 Github 链接。
    k1z
        32
    k1z  
       169 天前
    同遇到了, 山西联通。 最开始刷了 168T 。 后来我们开了 url 鉴权。 在之后就是换域名刷。。 公司好几个域名来回刷。。。 只能做了个监控发现一个处理一个。。

    IP 如下:
    221.205.168.56
    116.179.152.56
    221.205.169.206
    yuzo555
        33
    yuzo555  
    OP
       169 天前
    @k1z 刷这么多,应该是比较早的一批吧。他一开始是刷体量比较大的目标,这个月才开始无差别攻击。
    k1z
        34
    k1z  
       169 天前
    @yuzo555 嗯 应该是 5.20 左右开刷的,6 月几号我们才发现。 后来刷的流量都比较少了
    wangyunzi
        35
    wangyunzi  
       168 天前
    前几天被耍了两次,一共 100 多 g ,不断逮到我的 avatar 图像刷,用的七牛云,差不多也是损失三十多块钱吧,有人说直接向山西网警举报
    chesha1
        36
    chesha1  
       168 天前   ❤️ 1
    @liuzimin PCDN 是 CDN ,PT 是私有化的 BT 。PCDN 主要是出售带宽给各个商业公司赚钱用,PT 主要是用于分享一些资源,无直接经济收益,是两个事
    somsne
        37
    somsne  
       168 天前
    已报警,下午去派出所找网络相关的民警沟通,警务站的民警表示网络上的他们也不懂😂
    他们以前随便刷刷几十个 G 就算了,前天刷了我 3 个 T ,损失将近 1000
    Nav4ai
        38
    Nav4ai  
       167 天前
    这些人真出生,要刷就去刷 Steam 管家这样的网站,就逮着个人博客跟小网站刷。
    yuzo555
        39
    yuzo555  
    OP
       167 天前
    @Nav4ai 其实老早就刷了,我们年初就监测到同一批人在刷大体量的网站,这个月初才开始转向中小型网站无差别攻击。
    ShiroSekai
        40
    ShiroSekai  
       167 天前 via Android
    @somsne 支持!蹲后续
    somsne
        41
    somsne  
       165 天前
    @ShiroSekai 后续是帽子叔叔认为没有办法认定他的违法行为。
    理由是虽然那边流量异常,但是这个人可以说闲的无聊,不停手工点我的链接,并不违法。我用计算器帮他算了一下,要达到这么大的流量,这个人必须每秒点一下,不间断点 4 个小时。他依旧认为从理论角度这是可以做到的,所以不能给我立案。哪怕对我们已经造成损失了,导致我们腾讯云其他服务因为欠费而下线了,他也认为这个应该是我们公司运营必须面对的问题。
    跟帽子叔叔聊了一个多小时,虽然没解决问题,但聊得也算愉快的。要给他上破坏计算机信息系统罪,必须是故意绕开我们的防护体系。CDN 的流量限制规则不算,IP 封禁不算,必须要我拿出直接的证据才行。而从实践的角度看,我就算拿出来了,也有可能无法证明他是故意的,认定为是咱们的 BUG 。
    说白了,我认为是涉案金额太小了,我们小公司声音不够大。
    联通那边我也找过人工,意思是有能力配合,但只能跟帽子叔叔配合。
    说一句让大家失望的话,目前这个问题是无解的。
    下一步我准备从 EdgeOne 重新切换回普通的 CDN 了,下载链接全部挂鉴权配置,自己写个后台做些简单的限制
    ailiyaqin2003
        42
    ailiyaqin2003  
       163 天前
    @ShiroSekai 厉害,谢谢
    chenxuuu
        43
    chenxuuu  
       156 天前
    我也被刷了几个 G ,60.220.182.12 这个 ip
    准备给 cdn 换个域名,老域名重定向到 400G 的 brotli 炸弹
    tutugreen
        44
    tutugreen  
       156 天前
    @somsne 给你补充一下证据,从 Log 看,是换着 UA 刷的,明显是有意的。

    1423
        45
    1423  
       156 天前
    @BlueSkyXN #19 可以说是 PT 之友
    tutugreen
        46
    tutugreen  
       156 天前
    补充:
    60.221.195.0/24
    sagaxu
        47
    sagaxu  
       156 天前
    如果给它 301/302 到政府部门的 CDN 去,它会跟随重定向吗?
    kk2syc
        48
    kk2syc  
       156 天前
    @sagaxu 不会 那个工具默认忽略跳转
    virusdefender
        49
    virusdefender  
       156 天前
    我网站图片的 cdn 昨天也被刷了 100 多个 G ,直接欠费了
    oneisall8955
        50
    oneisall8955  
       156 天前
    @virusdefender +1 ,刷了 99G ,七牛云欠费了
    sunnysab
        51
    sunnysab  
       155 天前
    @oneisall8955 被刷了 66G ,七牛云欠费了……
    oneisall8955
        52
    oneisall8955  
       155 天前

    加了 IP 黑名单,非常有效
    virusdefender
        53
    virusdefender  
       155 天前
    @oneisall8955 确实,今晚又开始了
    xiaose2014
        54
    xiaose2014  
       153 天前
    真烦人,天天都有
    purocean
        55
    purocean  
       136 天前
    36.152.201.0/24 这个 IP 段又来了
    somsne
        56
    somsne  
       134 天前
    因为 cdn 的 qos 功能用下来问题千奇百怪,后来就自己写了个服务,进行流量过滤,把大文件和产品的安装包挂在上面
    快一个月了,目前只有偶尔观察到他们会密集访问已经失效的下载路径,算了一下最疯狂的一天返回了将近 200 万次的 403 和 514 。经过流量过滤服务的链接他们现在反而不会去尝试,我在服务后台的自动黑名单没有观察到
    同时我这边也关注到了 134.122.184.0/24 这个 IP 段,近期不停在扫我们的后台漏洞,不知道是不是跟他们有关系
    扬州这边的一些 IP 也开始了刷流量行为,有需要的朋友可以选择性屏蔽
    Mocker1106
        57
    Mocker1106  
       134 天前
    同样遇到了 60.221.195.0/24 这个 IP 段刷了我 300G 流量

    ![]( https://imgur.com/Lf1EPYA)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5407 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 08:12 · PVG 16:12 · LAX 00:12 · JFK 03:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.