起始

这天晚上刚吃了饭,正在遛弯看风景,然后收到百度云的短信说CDN的流量包没了。我寻思着我不是CDN的流量包2天前才买了两大两百个G,怎么就没了? 过了5分钟后,我反应过来,敲你玛,完犊子 ,遭了。然后赶紧打开CDN管理。

 

CDN

赶紧打开电脑,还是晚了,928G的流量刷没了,快一个T了。我尼玛 ::aru:aru120:: !!!我才买的流浪包抵扣了200G,剩下的700G直接回源了。我账户有500多的余额,完事现在账户直接欠费146

CDN接了三个域名在运行,这个域名是BOS对象存储在使用的一个图片接口。其他两个域名都设置了流量阈值的,就这一个忘了,就被钻了空。

 

CC攻击

攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS和伪装就叫CC(Challenge Collapsar)

CC(ChallengeCollapsar)攻击是DDoS攻击的一种类型,使用代理服务器向受害服务器发送大量貌似合法的请求。CC根据其工具命名,攻击者使用代理机制,利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难。

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

 

分析

惊呆了 整整1T流量 我一个小博客,就自己搞着玩玩而已的,至于么,动不动就1T流量。完事现在CDN全部欠费停止了,BOS也欠费停机了。

日志时间线10月25日

  • 20:15 开始第一波攻击,流量230G
  • 20:20 攻击最高峰值,流量487G
  • 20:30 持续攻击
  • 20:40 持续攻击
  • 20:50 攻击结束 ,共计928G流量

主要来源于两个境外IP,一个法国的,一个阿拉善的。阿拉善,阿拉善不是沙漠吗?沙漠里的黑客? ::aru:aru129::

  • 116.114.98.35
  • 178.170.62.139

这次的CC攻击主要是在刷一张图,请求了600多万次,也是厉害。得亏我的CDN不是按请求收费的,不然直接破产了。这张图是有多好看,值得刷这么多次。

就这张图

 

整改解决

这次的损失合计约在700元左右,主要是回源到BOS存储的费用,得亏这个域名不是接的网站的,不然服务器和IP也凉了,那影响就不止是钱的问题了。

在百度云上提了工单,没任何作用,自己还是得把这笔钱掏了,算了,是自己的防护没做好,怪不得别人,吃一只长一智,充了200块,解决问题。现在所有的对外接口和服务都已经正常了。

为抵御CC攻击我做了如下整改防护

  1. 设置ip访问限频,可以降低来源ip请求频率,具体请参考:https://cloud.baidu.com/doc/CDN/s/6jwvyeph6
  2. 设置ip黑名单,进行拦截请求ip,具体请参考:https://cloud.baidu.com/doc/CDN/s/Ujwvyep4z
  3. 设置带宽阈值,控制请求最大带宽,具体请参考:https://cloud.baidu.com/doc/CDN/s/Ojwvyekx2
  4. 设置cdn加速域名停止海外解析
  5. 域名开启访问白名单

 

后续

刚处理完这波攻击,把欠费的钱给了,又买了200G流量包。也设置了QPS请求限制,流量阈值报警,防盗链也加上了。以为可以放心了,结果,毫无作用。10月27日晚十点,正准备睡觉的时候,百度云发来短信说流量包剩余0KB,卧槽,这TM ::QQ:qq-10:: 的,兵贵神速啊,打我一个措手不及。一个鲤鱼打挺从床上蹦了起来,打开电脑,一看,流量包已经没了,先麻溜停止了CDN域名,避免扩大损失。

日志时间线10月27日晚

  • 21:00 开始第一波攻击,流量30G
  • 21:30 持续攻击
  • 22:00 攻击最高峰值 130G
  • 22:55 攻击结束 ,共计462G流量

还是来自境外的 IP ,这次居然有16个地址,这次流量还好,460个G

  • 2个新加坡
  • 3个印度
  • 2个泰国
  • 6个德国
  • 3个法国

这区域跨度有点大啊,看来攻击的人操控了不少的肉鸡,还是在一直请求一张图片。如此QPS请求限制,流量阈值报警,防盗链,访问白名单,没有任何作用,而且也禁止了空Referer请求。不知道他是如何做到的,百度云的报警这里要吐槽下,人家都攻击完了,然后又隔1个小时才报警,有鸡毛的用啊,大势已去,这不马后炮吗

按理说这些设置不应该不起作用,仔细分析了半天找到一个可能存在的原因,如果在站里面放了这个链接,直接通过站点击进去,是可以访问的,后端请求是直接从你的站发起的,即使新开一个浏览器页面,也可以直接访问到,所有没有作用。看来这玩意儿也不是百分百安全的。好在CND回源的时候被服务器防火墙拦截了,对网站没造成太大影响。

image-20201028211747512
image-20201028211747512
image-20201028211816567
image-20201028211816567
image-20201028212430196
image-20201028212430196

Last modification:December 22, 2020
© Allow specification reprint
如果你想请我喝奶茶的话