记第一次被刷CDN

7 月 7, 2024 | 随笔

7.8日更新

相关论坛和群内都有人反馈被刷流量,可以直接拉黑211.205.0.0/16这整个IP段一劳永逸

7.10更新:新的攻击IP地址118.81.0.0/16

开始

2024-07-06 21:35:34时,我收到了腾讯云的《流量包不足提醒》邮件提醒,内容如下:

尊敬的腾讯云用户,您好!

您的腾讯云账户中流量包已不足 30%-60.0 GB,流量包用尽后,将按照腾讯云 CDN 计费标准进行后付费结算,不会影响您的加速服务。

您可以 点此查看 流量包使用情况,也可以继续购买流量包使用:

收到邮件的第一感觉就是流量被刷了。打开腾讯云后台后一看数据果不其然(实际数流量是84G)这里数据还没更新。

查看日志

在收到邮件的第一时间登陆了腾讯云CDN控制台和网站管理控制台,第一时间关闭CDN防止继续被刷流量。随后查看被刷网站的具体日志,经过查看具体日志得知以下信息:

  • 被刷流量的是网站上的一张图片
  • 持续时间从20:08一直持续到21:59
  • IP归属地为山西省 太原市
  • User-Agent 信息和Range 参数为空

处理

在CDN访问设置里设置防盗链配置同时将该IP加入黑名单,在用量封顶配置里设置更严格的流量规则。

在服务器端设置了流量限制及单IP限制。

上述配置完成后重启流量正常。

最后

之前CDN为了方便没有开防盗链,只在用量封顶配置里简单配置了瞬间用量和设置了IP访问限频配置(300QPS),要不是设置了CDN流量包告警阈值,今天就得收到腾讯云发给我的天价账单了(最后损失15RMB)

IP访问限频配置(300QPS)设置太高了,刷流量的IP一秒才2-3个请求。

虽然流量全打CDN上了,但是1Panel的WAF是一点请求记录都没有,我不理解。

2 评论

  1. 时光本无罪

    221.205.168.130
    221.205.169.57
    211.90 146.211
    221205.169.45

    我也是 这几个IP 山西的,发现好多人都被刷了,真恶心。

    (博主我是从十年之约里跳转过来提示403,我是主页访问的)

    回复
    • MoraEX

      应该是我开启了防盗链,我去处理一下

      回复

递交一条评论

您的电子邮箱地址不会被公开。 必填项已用 * 标注

2 评论

  1. 时光本无罪

    221.205.168.130
    221.205.169.57
    211.90 146.211
    221205.169.45

    我也是 这几个IP 山西的,发现好多人都被刷了,真恶心。

    (博主我是从十年之约里跳转过来提示403,我是主页访问的)

    回复
    • MoraEX

      应该是我开启了防盗链,我去处理一下

      回复

递交一条评论

您的电子邮箱地址不会被公开。 必填项已用 * 标注