记一次被超大规模CC攻击

Author：爆胎
发布时间：October 27, 2020
5110 views
15 comments
3435 words
Categories：记事

起始

这天晚上刚吃了饭，正在遛弯看风景，然后收到百度云的短信说CDN的流量包没了。我寻思着我不是CDN的流量包2天前才买了两大两百个G，怎么就没了？过了5分钟后，我反应过来，敲你玛，完犊子，遭了。然后赶紧打开CDN管理。

CDN

赶紧打开电脑，还是晚了，928G的流量刷没了，快一个T了。我尼玛 ::aru:aru120:: ！！！我才买的流浪包抵扣了200G，剩下的700多G直接回源了。我账户有500多的余额，完事现在账户直接欠费146。

我CDN接了三个域名在运行，这个域名是BOS对象存储在使用的一个图片接口。其他两个域名都设置了流量阈值的，就这一个忘了，就被钻了空。

CC攻击

攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS和伪装就叫CC(Challenge Collapsar)

CC(ChallengeCollapsar)攻击是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求。CC根据其工具命名，攻击者使用代理机制，利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式，这使追踪变得非常困难。

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

分析

惊呆了 整整1T流量 我一个小博客，就自己搞着玩玩而已的，至于么，动不动就1T流量。完事现在CDN全部欠费停止了，BOS也欠费停机了。

日志时间线10月25日

20：15 开始第一波攻击，流量230G
20：20 攻击最高峰值，流量487G
20：30 持续攻击
20：40 持续攻击
20：50 攻击结束，共计928G流量

主要来源于两个境外IP，一个法国的，一个阿拉善的。阿拉善，阿拉善不是沙漠吗？沙漠里的黑客？ ::aru:aru129::

116.114.98.35
178.170.62.139

这次的CC攻击主要是在刷一张图，请求了600多万次，也是厉害。得亏我的CDN不是按请求收费的，不然直接破产了。这张图是有多好看，值得刷这么多次。

就这张图

整改解决

这次的损失合计约在700元左右，主要是回源到BOS存储的费用，得亏这个域名不是接的网站的，不然服务器和IP也凉了，那影响就不止是钱的问题了。

在百度云上提了工单，没任何作用，自己还是得把这笔钱掏了，算了，是自己的防护没做好，怪不得别人，吃一只长一智，充了200块，解决问题。现在所有的对外接口和服务都已经正常了。

为抵御CC攻击我做了如下整改防护

设置ip访问限频，可以降低来源ip请求频率，具体请参考：https://cloud.baidu.com/doc/CDN/s/6jwvyeph6
设置ip黑名单，进行拦截请求ip，具体请参考：https://cloud.baidu.com/doc/CDN/s/Ujwvyep4z
设置带宽阈值，控制请求最大带宽，具体请参考：https://cloud.baidu.com/doc/CDN/s/Ojwvyekx2
设置cdn加速域名停止海外解析
域名开启访问白名单

后续

刚处理完这波攻击，把欠费的钱给了，又买了200G流量包。也设置了QPS请求限制，流量阈值报警，防盗链也加上了。以为可以放心了，结果，毫无作用。10月27日晚十点，正准备睡觉的时候，百度云发来短信说流量包剩余0KB，卧槽，这TM ::QQ:qq-10:: 的，兵贵神速啊，打我一个措手不及。一个鲤鱼打挺从床上蹦了起来，打开电脑，一看，流量包已经没了，先麻溜停止了CDN域名，避免扩大损失。

日志时间线10月27日晚

21：00 开始第一波攻击，流量30G
21：30 持续攻击
22：00 攻击最高峰值 130G
22：55 攻击结束，共计462G流量

还是来自境外的 IP ，这次居然有16个地址，这次流量还好，460个G。

2个新加坡
3个印度
2个泰国
6个德国
3个法国

这区域跨度有点大啊，看来攻击的人操控了不少的肉鸡，还是在一直请求一张图片。如此QPS请求限制，流量阈值报警，防盗链，访问白名单，没有任何作用，而且也禁止了空Referer请求。不知道他是如何做到的，百度云的报警这里要吐槽下，人家都攻击完了，然后又隔1个小时才报警，有鸡毛的用啊，大势已去，这不马后炮吗。

按理说这些设置不应该不起作用，仔细分析了半天找到一个可能存在的原因，如果在站里面放了这个链接，直接通过站点击进去，是可以访问的，后端请求是直接从你的站发起的，即使新开一个浏览器页面，也可以直接访问到，所有没有作用。看来这玩意儿也不是百分百安全的。好在CND回源的时候被服务器防火墙拦截了，对网站没造成太大影响。

Last modification：December 22, 2020

如果你想请我喝奶茶的话

15 comments

陶小桃Blog 1
10 Mouths Ago

我记得去打漂亮国官网啊，直接插上五星红旗得了，，，没啥高级技术的网络菜狗，就知道搞一些老实博主的网站。强者抽刀向更更强者，弱者抽刀向更弱者。→_→

Reply
1. 陶小桃Blog 1
  10 Mouths Ago
  
  @陶小桃Blog
  
  打错字了，记得-->觉得有种
  
  Reply
7Wate
April 30, 2021

妈耶，赶紧上去看看！

Reply
WeiCN
March 3, 2021

避免破产。回去就设置阈值

Reply
1. 爆胎
  March 3, 2021
  
  @WeiCN
  
  没多大用处，建议直接接百度云加速，然后停止海外解析。
  
  Reply
  1. WeiCN
    March 3, 2021
    
    @爆胎
    
    昨天刚换的架构，换到了hexo+github+vercel+aliyuncdn，评论放在qcloud
    全链路白嫖…
    
    Reply
丨浅笑安然丨
February 17, 2021

所以准备换hexo了，随便打

Reply
Zhou216
February 14, 2021

我有个朋友比这还惨
腾讯的COS 没开阈值按量计费
一晚上一张图给打了6个T
欠费四千多....

Reply
1. 爆胎
  February 15, 2021
  
  @Zhou216
  
  ⌇●﹏●⌇
  直接破产换个号
  
  Reply
  1. 白鹿
    9 Mouths Ago
    
    @爆胎
    
    是不是欠费的钱不还会影响支付宝信誉什么的
    
    Reply
    
    爆胎
    8 Mouths Ago
    
    @白鹿
    
    这个应该不会，我欠了这么久也没啥影响，重新注册个账号继续用
    
    Reply
玉明
January 7, 2021

牛批，这人太闲了

Reply
1. 爆胎
  January 8, 2021
  
  @玉明
  
  闲着没事干，就干网站！
  
  Reply
房东的喵
November 2, 2020

阿拉善的英雄会 ::QQ:qq-5::

Reply
1. 爆胎
  November 2, 2020
  
  @房东的喵
  
  红红火火恍恍惚惚
  
  Reply

网易云我喜欢的音乐
浏览次数: 136679
为你的博客添加一个萌萌哒的看板娘吧
浏览次数: 112625
氛围音乐
浏览次数: 108845
2 8 1 4
浏览次数: 24965
渐变响应式 HTML5 导航页
浏览次数: 18573

浮生若梦
该评论仅登录用户及评论双方可见
浮生若梦
该评论仅登录用户及评论双方可见
浮生若梦
该评论仅登录用户及评论双方可见
浮生若梦
该评论仅登录用户及评论双方可见
黑猫
感谢大佬！

Sleepless Night 🌙 [lofi hip hop/study beats]
浏览次数: 312
OneManager搭建网盘详细过程
浏览次数: 14015
Vditor 语法指南
浏览次数: 1660
也是丧的一天
浏览次数: 1944
三角函数公式推导
浏览次数: 2843

记一次被超大规模CC攻击

爆胎 • 2020 年 10 月 27 日

<h2>起始</h2><p>这天晚上刚吃了饭，正在遛弯看风景，然后收到百度云的短信说<code>CDN</code>的流量包没了。我寻思着我不是<code>CDN</code>的流量包<code>2</code>天前才买了两大两百个<code>G</code>，怎么就没了？ 过了<code>5</code>分钟后，我反应过来，敲你玛，完犊子 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/surprised.png" class="emotion-aru"> ，遭了。然后赶紧打开<code>CDN</code>管理。</p><p><div class='photos'><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211240.png" alt="" title=""style="">
          <figcaption itemprop="caption description"></figcaption>
      </figure><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211241.png" alt="" title=""style="">
          <figcaption itemprop="caption description"></figcaption>
      </figure><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211242.png" alt="" title=""style="">
          <figcaption itemprop="caption description"></figcaption>
      </figure></div></p><p>&nbsp;</p><h2>CDN</h2><p>赶紧打开电脑，还是晚了，<code>928G</code>的流量刷没了，快一个<code>T</code>了。我尼玛 ::aru:aru120:: ！！！我才买的流浪包抵扣了<code>200G</code>，剩下的<code>700</code>多<code>G</code>直接回源了。我账户有<code>500</code>多的余额，完事现在账户直接欠费<code>146</code>。</p><p>我<code>CDN</code>接了三个域名在运行，这个域名是<code>BOS</code>对象存储在使用的一个图片接口。其他两个域名都设置了流量阈值的，就这一个忘了，就被钻了空。</p><p><div class='photos'><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211243.png" alt="" title=""style="">
          <figcaption itemprop="caption description"></figcaption>
      </figure><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211244.png" alt="" title=""style="">
          <figcaption itemprop="caption description"></figcaption>
      </figure><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211245.png" alt="" title=""style="">
          <figcaption itemprop="caption description"></figcaption>
      </figure></div></p><p>&nbsp;</p><h2>CC攻击</h2><p>攻击者借助代理服务器生成指向受害主机的合法请求，实现<code>DDOS</code>和伪装就叫<code>CC(Challenge Collapsar)</code></p><p><code>CC(ChallengeCollapsar)</code>攻击是<code>DDoS</code>攻击的一种类型，使用代理服务器向受害服务器发送大量貌似合法的请求。<code>CC</code>根据其工具命名，攻击者使用代理机制，利用众多广泛可用的免费代理服务器发动<code>DDoS</code>攻击。许多免费代理服务器支持匿名模式，这使追踪变得非常困难。</p><p><code>CC</code>攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。<code>CC</code>主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，<code>CC</code>就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量<code>CPU</code>时间）的页面，造成服务器资源的浪费，<code>CPU</code>长时间处于<code>100%</code>，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。</p><p>&nbsp;</p><h2>分析</h2><p>惊呆了 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/confuse.png" class="emotion-aru">  <strong>整整<code>1T</code>流量</strong> 我一个小博客，就自己搞着玩玩而已的，至于么，动不动就<code>1T</code>流量。完事现在<code>CDN</code>全部欠费停止了，<code>BOS</code>也欠费停机了。</p><p><strong>日志时间线10月25日</strong></p><ul><li>20：15 开始第一波攻击，流量230G</li><li>20：20 攻击最高峰值，流量487G</li><li>20：30 持续攻击</li><li>20：40 持续攻击</li><li>20：50 攻击结束 ，共计928G流量</li></ul><p>主要来源于两个境外<code>IP</code>，一个法国的，一个阿拉善的。阿拉善，阿拉善不是沙漠吗？沙漠里的黑客？ ::aru:aru129::</p><ul><li>116.114.98.35</li><li>178.170.62.139</li></ul><p><div class='photos'><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211246.png" alt="" title=""style="">
          <figcaption itemprop="caption description"></figcaption>
      </figure><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211247.png" alt="" title=""style="">
          <figcaption itemprop="caption description"></figcaption>
      </figure><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211248.png" alt="" title=""style="">
          <figcaption itemprop="caption description"></figcaption>
      </figure></div></p><p>这次的<code>CC</code>攻击主要是在刷一张图，请求了<code>600</code>多万次，也是厉害。得亏我的<code>CDN</code>不是按请求收费的，不然直接破产了。这张图是有多好看，值得刷这么多次。</p><p><img src="https://img-1259793745.itggg.cn/20201222211249.png" alt="就这张图" title="就这张图"style=""></p><p>&nbsp;</p><h2>整改解决</h2><p>这次的损失合计约在<code>700</code>元左右，主要是回源到<code>BOS</code>存储的费用，得亏这个域名不是接的网站的，不然服务器和<code>IP</code>也凉了，那影响就不止是钱的问题了。</p><p>在百度云上提了工单，没任何作用，自己还是得把这笔钱掏了，算了，是自己的防护没做好，怪不得别人，吃一只长一智，充了<code>200</code>块，解决问题。现在所有的对外接口和服务都已经正常了。</p><p><div class="tip inlineBlock warning">

<strong>为抵御CC攻击我做了如下整改防护</strong>
</div></p><ol><li>设置ip访问限频，可以降低来源ip请求频率，具体请参考：<span class="external-link"><a class="no-external-link" href="https://cloud.baidu.com/doc/CDN/s/6jwvyeph6" target="_blank"><i data-feather="external-link"></i>https://cloud.baidu.com/doc/CDN/s/6jwvyeph6</a></span></li><li>设置ip黑名单，进行拦截请求ip，具体请参考：<span class="external-link"><a class="no-external-link" href="https://cloud.baidu.com/doc/CDN/s/Ujwvyep4z" target="_blank"><i data-feather="external-link"></i>https://cloud.baidu.com/doc/CDN/s/Ujwvyep4z</a></span></li><li>设置带宽阈值，控制请求最大带宽，具体请参考：<span class="external-link"><a class="no-external-link" href="https://cloud.baidu.com/doc/CDN/s/Ojwvyekx2" target="_blank"><i data-feather="external-link"></i>https://cloud.baidu.com/doc/CDN/s/Ojwvyekx2</a></span></li><li>设置cdn加速域名停止海外解析</li><li>域名开启访问白名单</li></ol><p>&nbsp;</p><h2>后续</h2><p>刚处理完这波攻击，把欠费的钱给了，又买了<code>200G</code>流量包。也设置了<code>QPS</code>请求限制，流量阈值报警，防盗链也加上了。以为可以放心了，结果，毫无作用。10月27日晚十点，正准备睡觉的时候，百度云发来短信说流量包剩余<code>0KB</code>，卧槽，这TM ::QQ:qq-10:: 的，兵贵神速啊，打我一个措手不及。一个鲤鱼打挺从床上蹦了起来，打开电脑，一看，流量包已经没了，先麻溜停止了<code>CDN</code>域名，避免扩大损失。</p><p><strong>日志时间线10月27日晚</strong></p><ul><li>21：00 开始第一波攻击，流量30G</li><li>21：30 持续攻击</li><li>22：00 攻击最高峰值 130G</li><li>22：55 攻击结束 ，共计462G流量</li></ul><p>还是来自境外的 <code>IP</code> ，这次居然有<code>16</code>个地址，这次流量还好，<code>460个G</code>。</p><ul><li>2个新加坡</li><li>3个印度</li><li>2个泰国</li><li>6个德国</li><li>3个法国</li></ul><p>这区域跨度有点大啊，看来攻击的人操控了不少的肉鸡，还是在一直请求一张图片。如此<code>QPS</code>请求限制，流量阈值报警，防盗链，访问白名单，没有任何作用，而且也禁止了空<code>Referer</code>请求。不知道他是如何做到的，百度云的报警这里要吐槽下，人家都攻击完了，然后又隔<code>1</code>个小时才报警，有鸡毛的用啊，大势已去，这不马后炮吗 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/despise.png" class="emotion-aru"> 。</p><p>按理说这些设置不应该不起作用，仔细分析了半天找到一个可能存在的原因，如果在站里面放了这个链接，直接通过站点击进去，是可以访问的，后端请求是直接从你的站发起的，即使新开一个浏览器页面，也可以直接访问到，所有没有作用。看来这玩意儿也不是百分百安全的。好在<code>CND</code>回源的时候被服务器防火墙拦截了，对网站没造成太大影响。</p><p><div class='photos'><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211250.png" alt="image-20201028211747512" title="image-20201028211747512"style="">
          <figcaption itemprop="caption description">image-20201028211747512</figcaption>
      </figure><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211251.png" alt="image-20201028211816567" title="image-20201028211816567"style="">
          <figcaption itemprop="caption description">image-20201028211816567</figcaption>
      </figure><figure class="image-thumb" itemprop="associatedMedia" itemscope="" itemtype="http://schema.org/ImageObject">
          <img src="https://img-1259793745.itggg.cn/20201222211252.png" alt="image-20201028212430196" title="image-20201028212430196"style="">
          <figcaption itemprop="caption description">image-20201028212430196</figcaption>
      </figure></div></p>

起始

CDN

CC攻击

分析

整改解决

后续

Leave a Comment Cancel reply

15 comments

记一次被超大规模CC攻击