每天晚上 20~23 时准点被山西联通 IP 刷流量现象的分析和猜测

xieshuoshuo 发布于 2024-07-14 518 次阅读 预计阅读时间: 7 分钟

本文转载!
原文链接为:https://www.v2ex.com/t/1055510#reply40

现象

最近 CDN 平台下,每天都有新增数十个不同用户的域名受到来自山西太原联通的几个固定 IP 网段的刷流量攻击。

每天 20:00 左右开始,23:00 准时结束。

攻击者会事先人为挑选体积较大的静态文件,例如音视频 mp4 、安装包 exe/apk 、体积较大的图片等,然后在攻击期间,不断请求这个文件,消耗流量。

攻击者会将请求的 Referer 头设置为文件链接本身,User-Agent 则有时是随机的,有时为空。

其实数月前就有体量较大的用户遇到这个问题,我们封死之后消停了一会儿,

但最近开始无差别攻击,大站小站只要被它扫到的站,都会在这个时间段内开始高频请求。

分析

攻击者似乎并不想要将网站打死,而是慢慢地刷流量,每个域名刷的流量也不多,3 个小时内最多几百 GB 。

一开始我们以为是普通的竞对行为,后来发现互联网上有蛮多类似案例反馈,来自不同 CDN 厂商平台,在 V2EX 上也看到几个类似的帖子:

https://v2ex.com/t/1055422#r_14960872

https://v2ex.com/t/1045318

可以认为这个是一个比较广泛的现象。

另外我们分析这些被攻击的网站的日志,发现攻击开始前的几天内,都会出现一个 153.101.*.* 的 IP (江苏联通) ,使用 Java/1.8.0_91 的 User-Agent 访问被攻击的网站里的资源,我们不确定这是否与攻击有关,但也没查到这是哪家的爬虫信息,也没搜到过前人关于这个 IP 的日志,如果你也遇到了这个攻击,可以检查下日志。

猜测

攻击者没有把哪个网站当成必须要拿下的目标,甚至你把它 IP 屏蔽之后,它也不在乎,仍旧到点继续刷同一个地址,即使这个地址会被拦截...

根据时间、攻击者行为特征,我感觉与 省间结算政策 或者该政策推开后运营商加速封杀高上传家宽(比如 PCDN 之类的)有关系。

至于到底是运营商自身拉平省际带宽差距的需要,还是政策导致的高上传家宽用户需要拉低上传下载比例来避开运营商的封杀?

我感觉是后者,观察日志发现,攻击者大部分情况下,请求的还是山西联通网内的 CDN 节点,这是达不到拉平省际带宽差异的效果的。

为什么要广撒网拿中小网站下手?我感觉是怕流量过于集中引起对方报警之类的,这样每个网站 1~200 GB 分摊下来,对于单个网站主来说,损失不大也不好立案。

本段所述只是我个人的猜测,未经证实,也未有其它证据佐证,仅供参考。

应对

我们监控到异常的 CDN 域名后,会主动屏蔽相关 IP 访问,你也可以尝试屏蔽下列 IPv4 网段:

221.205.168.0/23
60.221.231.0/24
211.90.146.0/24

后续不知道会不会更换 IP ,但如果上述的猜测正确,攻击者自己频繁更换 IP 应该是不利于他所要实现的目的的。

另外,CDN 端开启限流措施,例如 IP 访问频率限制、流量封顶限制等访问控制功能,也是非常有必要的,可以有效减少恶意攻击产生的流量,也能在发生攻击后尽快提醒你做出应对。

第 1 条附言  ·  3 天前

更新 IP 段:
118.81.184.0/23
124.163.207.0/24
124.163.208.0/24
183.185.14.0/24
来源:
近期部分加速域名晚间遭遇恶意流量事件说明: https://www.dogecloud.com/announcement/26

幸运的是我的服务器是基于带宽的,并没有流量限制,所以前几天在V2及nodeseek看到类似的贴子的时候并没在意,但是这个事件貌似愈演愈烈了,所以还是出一篇文章吧。

引用原文内容,如果是基于流量的CDN或者是VPS,可以把以下IP加入到访问黑名单中

221.205.168.0/23
60.221.231.0/24
211.90.146.0/24
118.81.184.0/23
124.163.207.0/24
124.163.208.0/24
183.185.14.0/24

或者是引用链接里的多吉云封禁IP

221.205.168.0/23
60.221.231.0/24
211.90.146.0/24
122.195.22.0/24
118.81.184.0/23
124.163.207.0/24
124.163.208.0/24
183.185.14.0/24
36.35.38.0/24
60.221.195.0/24

更直接一点的,引用原文链接的用户评论第20楼的IP

61.134.192.0/18
61.240.32.0/21
61.240.42.0/19
118.81.0.0/16
171.116.0.0/18
171.120.0.0/16
183.184.0.0/17
183.191.0.0/16
202.97.128.0/22
202.97.146.0/24
202.97.151.0/24
202.97.154.0/23
202.99.192.0/24
202.99.197.0/24
202.99.200.0/24
202.99.203.0/24
202.99.207.0/22
202.99.212.0/24
202.99.216.0/21
203.93.113.192/26
210.52.58.0/24
210.82.139.0/24
210.82.192.0/24
211.90.80.0/21
211.93.164.0/22
218.26.0.0/19
218.26.42.0/23
218.26.52.0/22
218.26.66.0/24
218.26.80.0/21
218.26.93.0/24
218.26.96.0/19
218.26.176.0/21
218.26.184.0/22
218.26.200.0/22
218.26.214.0/22
218.26.220.0/24
218.26.224.0/21
218.26.235.0/24
218.26.241.0/22
218.26.246.0/24
218.26.248.0/24
218.26.250.0/23
218.26.254.0/23

虽然杀伤性很大,但无非也就山西联通的用户访问不到了,这次事件过去了再删除黑名单也无妨,鬼知道他会拿哪个 IP 刷你😇