谷子猫博客

一个简单爱分享的小站!^_^!
   
QQ咨询
首页>> 最新资讯 >>关于最近众多站长的CDN被盗刷产生大量付费订单情况



起因是这段时间,有很多站长发现自己使用的CDN遭遇盗刷。盗刷并不限定指定CDN,盗刷者盗刷流量的方式基本是下载刷取大图片,文件等。因为大厂的策略设置,超过套餐流量后CDN并不会关闭,而是执行套外资费,导致很多站长出现几百到数千的CDN消费。
目前多吉云和火毅盾都通过分析发现了这种盗刷情况,并拉黑了一些恶意的IP段,但是针对大厂的CDN,仍然需要自己添加黑名单并设置规则。

此次盗刷事件的起因,可能是运营商为了打击PCDN业务,开启网间结算有关。PCDN是现在一些视频和内容大厂采用的一种流量发布方式,通过缓存内容,然后分享给其它人来获取收益(行为类似于BT/PT分享),宽带长期上传分享,会导致当地的宽带上传异常。盗刷其它资源,可以让上传/下载量看起来平衡一些。
早在三月,当时那些人是刷大厂的文件包来达到目的,例如下载小米的MIUI刷机包,刷一些互联网APP文件如WX安装文件等。后来大厂对文件做了限制。

为了防止资金损失,建议站长们尽快限制CDN的流量,宽带。

PS:图片来自站长分享。
单IP获取文件显然不正常

某站被刷1.4T流量

085314xuebe6undi0pdabb.png

212155pjqqbjdsz8qbrdzq.png




PS:多吉云关于CDN被盗刷的公告。
https://www.dogecloud.com/announcement/26


多吉云运维团队观测到,自 2024 年 3 月至今,中国境内有大量各类网站,在每天晚上固定时间,受到 IP 来自山西联通、江苏联通、安徽联通等地的固定网段的恶意流量攻击。

现象
这类流量攻击时间规律,每天 19:50 左右开始,23:00 准时结束。

受害网站来源广泛,有多吉云 CDN 用户,也有阿里、腾讯、七牛、又拍等国内其他 CDN 服务商的用户。攻击者会挑选体积较大的静态文件,例如视频、安装包、体积较大的图片或脚本等,在攻击期间,不断请求这个文件,消耗受害网站的 CDN 流量。

一开始此类攻击只针对体量稍大一些的网站,被多吉云的流量激增监测系统发现并提醒用户,用户自主或在我们协助下针对性封禁后,问题即解决。自本月初开始,攻击者开始无差别针对中小网站进行攻击,每晚都有大量中小网站新增为受害者,在不设置访问控制措施的情况下,小型网站每晚可受到约 50 ~ 300GB 的恶意流量。

我们推测此类攻击可能与运营商省间结算政策施行后,某些地区的高上传家宽用户(例如 PCDN 等)为了躲避运营商封杀,降低“上传/下载”比例,人为刷下载流量的行为有关。

应对
如果您是多吉云用户,目前您无需过于担心,多吉云运维团队已对这类流量攻击采取针对性行动。前几天受到攻击的用户应该能明显感觉到这两天的晚上流量小了很多。

但我们仍然建议您可以为 CDN 加速域名设置访问控制措施,例如开启 CDN 域名配置中的 IP 访问频率限制、流量封顶限制等功能,实践表明,开启这些配置并合理设置封顶阈值的域名,在本次攻击中损失都非常小。

另外,您也可以提前添加下列 IPv4 网段至 IP 黑白名单配置 功能的黑名单中,防患于未然(这可能会影响极少数正常用户访问,请谨慎评估):

221.205.168.0/23
60.221.231.0/24
211.90.146.0/24
122.195.22.0/24

如果您有任何疑问,请及时与在线客服或对接商务人员沟通。

运营团队
2024-07-08

PS:火毅盾关于CDN被盗刷的公告:

https://blog.hydun.com/archives/205/


您好!

自2024年7月以来,我们注意到中国境内多个地区遭受了恶意流量攻击,影响了包括白山、阿里、腾讯、七牛、又拍、网宿等国内多家CDN服务商的用户。这些攻击主要发生在夜间固定时间段,攻击者选择体积较大的静态文件,如视频、字体文件、安装包、大图片或脚本等,进行频繁请求,从而大量消耗受害网站的CDN流量。

我们火毅盾也未能幸免,自7月3日起,我们也遭受了类似攻击,每晚的恶意流量高达200至300GB。根据我们的分析,这些攻击可能与运营商省间结算政策的实施有关,一些地区的高上传带宽用户可能为了规避运营商的封杀,人为刷下载流量,以降低"上传/下载"比例。

我们发现这些恶意请求额外携带了XFF的客户端IP,而XFF客户端IP显示为境外地址,如美国、中国香港、新加坡、韩国、日本等,但与用户IP归属地不一致。我们初步推测,这可能是因为用户使用了代理池,配置有误,错误地传递了用户的真实IP。

为了应对这一问题,保护您的网站,我们建议采取以下临时屏蔽措施:

将以下IPv4网段添加至IP黑名单,以防止恶意流量的进一步攻击。我们深知这可能会影响极少数正常用户的访问,但为了平台的安全,我们不得不采取这一措施。
211.90.146.0/24
221.205.168.0/23
112.229.8.0/24
39.71.180.0/24
119.188.69.0/24
119.188.197.0/24
119.188.60.0/24
119.188.63.0/24
27.221.70.0/24
60.221.231.0/24
120.132.82.0/24
36.155.119.0/24
36.155.88.0/24
112.48.189.0/24
140.249.121.0/24
221.205.169.0/24
119.118.60.0/24
119.118.88.0/24
119.118.197.0/24
119.118.69.0/24
119.118.63.0/24
119.118.65.0/24
112.159.22.0/24
124.163.208.0/24
124.163.207.0/24
183.185.14.0/24

如果您的IP地址属于上述被屏蔽的网段,请立即联系我们的管理员,我们将为您提供必要的帮助和解决方案。
我们深知这些措施可能会给部分用户带来不便,但为了保护我们的平台和所有用户的利益,我们不得不采取这一行动。我们将继续密切关注情况的发展,并在必要时采取进一步措施。

感谢您的理解和支持!

火毅盾运营团队
2024年7月10日



此次盗刷影响范围较大,很多站长都遭遇了。有时间规律,基本是在晚上7-9点这个时间段,来源主要是山西联通,上海联通等地。如果遭遇盗刷,可以先联系关闭CDN/OSS等内容,当然最好是预防为主,在CDN面板设置宽带,流量,防盗链等。


×

感谢您的支持,我们会一直保持!

扫码支持
请土豪扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

打赏作者
AD:【站长推荐】一只勤奋的猫咪^3^

版权所有,转载注意明处:谷子博客 » 关于最近众多站长的CDN被盗刷产生大量付费订单情况

QQ

标签: 下载 漏洞 禁止 cdn 线路 运营商

谷子

用心去打造出特色的资源网站,用每一滴汗水换回所有付出所得的喜悦!

相关推荐

发表评论

路人甲

网友评论(0)

    • 分类

    最新日志

    猜你喜欢

    最新评论