Loading... ## 起始 这天晚上刚吃了饭,正在遛弯看风景,然后收到百度云的短信说`CDN`的流量包没了。我寻思着我不是`CDN`的流量包`2`天前才买了两大两百个`G`,怎么就没了? 过了`5`分钟后,我反应过来,敲你玛,完犊子 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/surprised.png" class="emotion-aru"> ,遭了。然后赶紧打开`CDN`管理。 <div class='album_block'> [album]    [/album] </div> ## CDN 赶紧打开电脑,还是晚了,`928G`的流量刷没了,快一个`T`了。我尼玛 ::aru:aru120:: !!!我才买的流浪包抵扣了`200G`,剩下的`700`多`G`直接回源了。我账户有`500`多的余额,完事现在账户直接欠费`146`。 我`CDN`接了三个域名在运行,这个域名是`BOS`对象存储在使用的一个图片接口。其他两个域名都设置了流量阈值的,就这一个忘了,就被钻了空。 <div class='album_block'> [album]    [/album] </div> ## CC攻击 攻击者借助代理服务器生成指向受害主机的合法请求,实现`DDOS`和伪装就叫`CC(Challenge Collapsar)` `CC(ChallengeCollapsar)`攻击是`DDoS`攻击的一种类型,使用代理服务器向受害服务器发送大量貌似合法的请求。`CC`根据其工具命名,攻击者使用代理机制,利用众多广泛可用的免费代理服务器发动`DDoS`攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难。 `CC`攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。`CC`主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,`CC`就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量`CPU`时间)的页面,造成服务器资源的浪费,`CPU`长时间处于`100%`,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。 ## 分析 惊呆了 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/confuse.png" class="emotion-aru"> **整整`1T`流量** 我一个小博客,就自己搞着玩玩而已的,至于么,动不动就`1T`流量。完事现在`CDN`全部欠费停止了,`BOS`也欠费停机了。 **日志时间线10月25日** - 20:15 开始第一波攻击,流量230G - 20:20 攻击最高峰值,流量487G - 20:30 持续攻击 - 20:40 持续攻击 - 20:50 攻击结束 ,共计928G流量 主要来源于两个境外`IP`,一个法国的,一个阿拉善的。阿拉善,阿拉善不是沙漠吗?沙漠里的黑客? ::aru:aru129:: - 116.114.98.35 - 178.170.62.139 <div class='album_block'> [album]    [/album] </div> 这次的`CC`攻击主要是在刷一张图,请求了`600`多万次,也是厉害。得亏我的`CDN`不是按请求收费的,不然直接破产了。这张图是有多好看,值得刷这么多次。  ## 整改解决 这次的损失合计约在`700`元左右,主要是回源到`BOS`存储的费用,得亏这个域名不是接的网站的,不然服务器和`IP`也凉了,那影响就不止是钱的问题了。 在百度云上提了工单,没任何作用,自己还是得把这笔钱掏了,算了,是自己的防护没做好,怪不得别人,吃一只长一智,充了`200`块,解决问题。现在所有的对外接口和服务都已经正常了。 <div class="tip inlineBlock warning"> **为抵御CC攻击我做了如下整改防护** </div> 1. 设置ip访问限频,可以降低来源ip请求频率,具体请参考:https://cloud.baidu.com/doc/CDN/s/6jwvyeph6 2. 设置ip黑名单,进行拦截请求ip,具体请参考:https://cloud.baidu.com/doc/CDN/s/Ujwvyep4z 3. 设置带宽阈值,控制请求最大带宽,具体请参考:https://cloud.baidu.com/doc/CDN/s/Ojwvyekx2 4. 设置cdn加速域名停止海外解析 5. 域名开启访问白名单 ## 后续 刚处理完这波攻击,把欠费的钱给了,又买了`200G`流量包。也设置了`QPS`请求限制,流量阈值报警,防盗链也加上了。以为可以放心了,结果,毫无作用。10月27日晚十点,正准备睡觉的时候,百度云发来短信说流量包剩余`0KB`,卧槽,这TM ::QQ:qq-10:: 的,兵贵神速啊,打我一个措手不及。一个鲤鱼打挺从床上蹦了起来,打开电脑,一看,流量包已经没了,先麻溜停止了`CDN`域名,避免扩大损失。 **日志时间线10月27日晚** - 21:00 开始第一波攻击,流量30G - 21:30 持续攻击 - 22:00 攻击最高峰值 130G - 22:55 攻击结束 ,共计462G流量 还是来自境外的 `IP` ,这次居然有`16`个地址,这次流量还好,`460个G`。 - 2个新加坡 - 3个印度 - 2个泰国 - 6个德国 - 3个法国 这区域跨度有点大啊,看来攻击的人操控了不少的肉鸡,还是在一直请求一张图片。如此`QPS`请求限制,流量阈值报警,防盗链,访问白名单,没有任何作用,而且也禁止了空`Referer`请求。不知道他是如何做到的,百度云的报警这里要吐槽下,人家都攻击完了,然后又隔`1`个小时才报警,有鸡毛的用啊,大势已去,这不马后炮吗 <img src="https://www.itggg.cn/usr/themes/handsome/assets/img/emotion/aru/despise.png" class="emotion-aru"> 。 按理说这些设置不应该不起作用,仔细分析了半天找到一个可能存在的原因,如果在站里面放了这个链接,直接通过站点击进去,是可以访问的,后端请求是直接从你的站发起的,即使新开一个浏览器页面,也可以直接访问到,所有没有作用。看来这玩意儿也不是百分百安全的。好在`CND`回源的时候被服务器防火墙拦截了,对网站没造成太大影响。 <div class='album_block'> [album]    [/album] </div> Last modification:December 22nd, 2020 at 09:13 pm © 允许规范转载 Support 如果你想请我喝奶茶的话 ×Close Appreciate the author Sweeping payments Pay by AliPay Pay by WeChat
11 comments
妈耶,赶紧上去看看!
避免破产。回去就设置阈值
没多大用处,建议直接接百度云加速,然后停止海外解析。
昨天刚换的架构,换到了hexo+github+vercel+aliyuncdn,评论放在qcloud
全链路白嫖…
所以准备换hexo了,随便打
我有个朋友比这还惨
腾讯的COS 没开阈值 按量计费
一晚上一张图给打了6个T
欠费四千多....
⌇●﹏●⌇
直接破产 换个号
牛批,这人太闲了
闲着没事干,就干网站!
阿拉善的英雄会 ::QQ:qq-5::
红红火火恍恍惚惚