V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
0x49
V2EX  ›  宽带症候群

糟心阿里 CDN,恶意刷流量,域名解析已经切换源,流量依旧

  •  
  •   0x49 · 172 天前 · 6707 次点击
    这是一个创建于 172 天前的主题,其中的信息可能已经有所发展或是发生改变。

    说明

    • 使用阿里 CDN 的 xdm 可以观察一下 20-23 点流量是否异常
    • 我这从 6 月开始一直持续到现在,固定区间时间流量异常

    处理

    • 昨天账户已经欠费,处理完欠费后。购买流量包,静态次数。
    • 把域名解析回源 IP ,不使用阿里 CDN, 准备观察一周的( CDN 的日志要收费)

    问题

    • 今天阿里 CDN 控制台一看,,,TMD 还是有流量产生,,,

    无凭据猜测

    1. 自己刷绩效 2.其他公司恶意攻击
    第 1 条附言  ·  171 天前

    风险IP

    • 58.220.40.0/24
    • 221.205.0.0/15
    • 221.204.0.0/15
    • 221.90.0.0/15
    81 条回复    2024-07-18 09:28:58 +08:00
    vueli
        1
    vueli  
       172 天前
    用啥 cdn 啊,裸连得了。
    gaobh
        2
    gaobh  
       172 天前 via iPhone
    开 waf ,是山西联通 ip 攻击吧,有一大波站长被攻击了,直接禁掉山西请求吧
    gaobh
        3
    gaobh  
       172 天前 via iPhone   ❤️ 1
    ip 为 221.205 段,221.90 段
    ZeroClover
        4
    ZeroClover  
       172 天前   ❤️ 7
    你切解析有什么用,只要人家知道你的 CDN CNAME 一样可以强指过去继续刷,阿里 CDN 的文档也写了只有删除 CDN 服务才可以避免后续继续产生费用
    maomaosang
        5
    maomaosang  
       172 天前
    +1
    dzdh
        6
    dzdh  
       172 天前
    @ZeroClover +1 不是你解析切了 CDN 就无法访问了。CDN 能被任何手段访问就能产生流量。
    90xchun
        7
    90xchun  
       172 天前   ❤️ 3
    关于你的猜想,我觉得应该搞 PCDN 嫌疑很大的,因为这次的是全国都有了得,国外的 IP 被被我全部 block 了,然后 20 分钟左右就这一个首页,被刷了 2 亿 次,可以笑的是 阿里云的 waf 通过了 900w 次的请求,被拦截的基本是我手动 block 的国外 ip ,如果不 block 的话,账单金额不敢想象



    的确没钱不要上这种弱智 waf ,迁移到 clouflare 后很平稳,更加验证了,这个狗逼脚本仅能打国内的网站,为了其实拉齐上下行带宽。 如果是的话,请搞 PCDN 的人不要自己玩臭自己,停止这种弟弟行为,去刷大的网站的 cdn ,和运营商大公司硬肛,别拿不赚钱的网站当垫脚石,赚钱可以,但不能不要良心
    imzoke
        8
    imzoke  
       172 天前
    我司用的七牛云也被刷了,连续几天 20-23 点,山西联通单个 IP 。五月底到六月初来了一波直接被刷欠费了。

    这个月月初又来了一波,好几个山西联通 IP ,没办法,只能加访问控制限制。

    这么说来可以排除其他公司恶意攻击了。看来可能是做 PCDN 的人在刷下载流量。
    0x49
        9
    0x49  
    OP
       172 天前
    @ZeroClover
    @dzdh 👍是的,没有关,只是想确定一些“猜想”。即使控制台已经识别 CNAME 没有解析到阿里云 CDN,也是一样会收费的,所以现在直接关闭了。
    C603H6r18Q1mSP9N
        10
    C603H6r18Q1mSP9N  
       172 天前
    看了下公司阿里云账户,果然 每天 20 点~23 点,被刷了 CDN 流量,只是我们网站 SSL 已经过期了没用了,每天还是能按时按量被刷。。。
    0x49
        11
    0x49  
    OP
       172 天前
    @90xchun
    @imzoke 老哥说的 PCDN 的骚操作,为啥要这样?是防止宽带被封?
    ju0594
        12
    ju0594  
       172 天前
    0x49
        13
    0x49  
    OP
       172 天前
    @gaobh 直接停了 CDN...事业单位的客户,预付费的账单很烦。
    0x49
        14
    0x49  
    OP
       172 天前
    @shanghai1998
    @ju0594 看来受害人数不少,估计也有很多没有发现
    ZeroClover
        15
    ZeroClover  
       172 天前   ❤️ 2
    @0x49 #9 「停止」服务仍然可以刷,停止只是阿里不再解析那个 CNAME 到 CDN 节点,用 IP 强指一样可以刷

    再说一次看文档

    ju0594
        16
    ju0594  
       172 天前
    @0x49 因为 PCDN 跑的是上行流量, 运营商会对上行流量远远大于下行流量的宽带进行管控. 所以他们多跑下行避免被封, 猜测是这样.
    90xchun
        17
    90xchun  
       172 天前   ❤️ 9
    你想下逻辑就知道了,因为家宽都是下行多上行少,然后 PCDN 肯定是上行多下行少,所以 PCDN 如果不对齐家宽的那种,上行下行比,运营商看流量比一眼就看出来了,是在搞 pcdn ,动了 运营商和传统 cdn 服务商的蛋糕,运营商肯定会关闭掉这样家宽账号,然后把数据拉成和家宽差不多,就需要刷数据,可是怎么刷呢?

    当然是找一些小网站搞撒,因为小网站简单,没有没功夫去溯源,及时找到了,无非是个民事纠纷,因为攻击者是家宽,大网站和政府网站都不敢搞,因为人家正能把这些搞 pcdn 的送进去,所以选来选去,就选 cdn 了撒,刷流量快,同时,不会对实际的网站产生不可用(一旦把人家网站打的不可用了,就要负担法律责任)

    本来 pcdn 应该是合理合法的,因为用户理论上可以用自己宽带提供服务的,来赚钱,但他们不应该搞不应该拉到一个套了 cdn 的网站就开搞了撒,最终让网站主买单

    及 网站主付出了本不该支付的流量费用,整个过程 ISP 运营商( cdn 提供商)是获利的,pcdn 是获利的,家宽账号也是获利,仔细一想, 这个过程,网站主才是那个孤立无援的人,因为这些刷的流量并不能带来任何的收入

    之前说他们是小丑,感觉用词不当,我觉得应该那种搞 pcdn ,刷行带宽是人就是 🐛👎
    kaedeair
        18
    kaedeair  
       172 天前   ❤️ 2
    @90xchun #17 pcdn 是不合理的,在当前情况下,家庭宽带是由企业补贴的;任何一种按照使用用途定价的商品,都不能被用其他用途,水电都分民用和商用,使用宽带进行盈利行为本来就是在合同内禁止的
    90xchun
        19
    90xchun  
       172 天前 via iPhone
    你这样说也对,毕竟家宽和商宽价格的确悬殊太大
    lxh1983
        20
    lxh1983  
       172 天前 via iPhone
    @kaedeair 商用补贴民用这老掉牙的谎言还在继续传播呢?家宽不赚钱运营商不设置障碍就不错了还会到处做广告?
    koloonps
        21
    koloonps  
       172 天前
    @lxh1983 他要是赚钱就不会推广 2000m 宽带了
    kaedeair
        22
    kaedeair  
       172 天前
    @lxh1983 #20 他怎么设置障碍,工信部提速降费文件是废纸么?
    processzzp
        23
    processzzp  
       172 天前
    @kaedeair 人都上天了,还搁这儿说提速降费呢
    90xchun
        24
    90xchun  
       172 天前
    @processzzp 😂,就问快不快
    kaedeair
        25
    kaedeair  
       172 天前
    @processzzp #23 文件过了时间就变成废纸了是吧?按你的意思现在宽带市场就应该回到 2015 年的时候
    gorvey
        26
    gorvey  
       172 天前
    不得不说国外的 cdn 就比较良心,流量不收费
    lxh1983
        27
    lxh1983  
       172 天前 via iPhone
    @kaedeair 工信部还有携号转网呢。工信部还没让他们歧视老用户呢。刚还看到移动用户想要降低套餐费用,废了老劲了,各种推脱,难道这是工信部要求的吗?
    bug51
        28
    bug51  
       172 天前
    @gaobh > 开 waf ,是山西联通 ip 攻击吧,有一大波站长被攻击了,直接禁掉山西请求吧。屏蔽 ip 为 221.205 段,221.90 段

    大佬 会说就说多点
    wy315700
        29
    wy315700  
       172 天前
    山西联通和山东联通,最近屏蔽了很多段
    PerFectTime
        30
    PerFectTime  
       172 天前   ❤️ 4
    221.90 段的我已经找当地省公司联通客服投诉过了。

    他们的反馈是确认攻击属实,ip 已关停,已警告用户,下次再有攻击清退

    就是不知道他们所说的 ip 关停是什么意思,看看今晚是否还有攻击吧
    PerFectTime
        31
    PerFectTime  
       172 天前
    说错了 是 221.205
    bug51
        32
    bug51  
       172 天前
    @imzoke 玩多了就发现七牛是裸奔的。

    我打算迁移到腾讯云,强迫症就是要多访问控制配置的控制台
    xiaoz
        33
    xiaoz  
       172 天前
    @90xchun #17 ,分析得有一定道理,上次我 CDN 也是被一个单 IP 刷流量。但是我觉得可以先向运营商投诉,甚至是直接起诉,如果不硬刚的话,环境永远得不到治理。
    taifus
        34
    taifus  
       172 天前
    同山西联通遭遇攻击,头一天刷了 50G ,第二天刷了快 20 G 。
    gaobh
        35
    gaobh  
       172 天前   ❤️ 1
    @PerFectTime #31 牛逼,今晚还真停了
    kanshudj
        36
    kanshudj  
       172 天前
    这帮刷下行流量的是纯傻子,现在运营商治理 pcdn 根本就不看下行流量,只看上行流量。
    lower
        37
    lower  
       171 天前
    卧槽,最近我也遇到了,网站开的全站加速,但是看日志就网站里一个图片被异常高的访问次数,瞬间就欠费了,操……
    PbCopy111
        38
    PbCopy111  
       171 天前   ❤️ 1
    碰到这事,大家都报警吧,一个人的损失小,但是所有人加起来,就很刑了,这特么太操蛋了。
    fenglong
        39
    fenglong  
       171 天前   ❤️ 2
    @kaedeair 政企收入补贴家宽确实是谣言,运营商都是上市公司,有公开财报,政企收入只占总收入两三成,前几年政企收入跟总利润都差不多,这几年推云服务把政企收入最大了,差距才稍微拉开了点,但也没有比利润多很多
    lower
        40
    lower  
       171 天前
    @PerFectTime 我这日志里 IP 来源都是国外了,妈的,直接禁用国外 IP 先 ヾ(≧へ≦)〃
    Track13
        41
    Track13  
       171 天前
    这帮子垃圾人,bt 没祸害够,cdn 又开始。
    vincent7245
        42
    vincent7245  
       171 天前
    有个骚主意,定位 PCDN ip ,然后这些 IP 访问就重定向到政府网站,最好是国字头的
    maomaosang
        43
    maomaosang  
       171 天前   ❤️ 1
    @PerFectTime 想问问具体什么途径投诉的,需要提供一些什么,如果不麻烦的话我也搞一下,我手里应该有一个列表能投诉,涉及山西江苏等地的联通
    maomaosang
        44
    maomaosang  
       171 天前
    @vincent7245 考虑过,但是他们带我的 refer 了,就怕官老爷不分青红皂白顺着 refer 来搞我,那就很麻烦了。我目前是把他们 301 到联通自己的一个 apk 下载链接,可以有效降低请求数量。
    oneisall8955
        45
    oneisall8955  
       171 天前
    内部的吧
    kaedeair
        46
    kaedeair  
       171 天前
    @fenglong #39 可能我说的企业比较宽泛吧,现在我来纠正一下,我所指的补贴是由 IDC 业务补贴固网家庭宽带业务,而且这一现象是基于国外相对而言的,国外的上行带宽价格远远低于国内,这样成本显然是转移到企业的。假设运营商的收入不变,由提速降费政策导致来自个人消费者的收入减少,这一部分成本又会转移到哪?运营商的收入大头在移动网络,政企收入肯定比不了。
    kaedeair
        47
    kaedeair  
       171 天前
    @lxh1983 #27 你杠你赢
    iijboom
        48
    iijboom  
       171 天前
    @gorvey 收的,也就 cf 赛博菩萨
    MartinWu
        49
    MartinWu  
       171 天前
    晚上固定时间段+有限的几个 IP+高并发下载大文件+山西联通,这几个因素基本上没跑都是同一类型的 pcdn 刷流量了。
    PerFectTime
        50
    PerFectTime  
       171 天前 via iPhone   ❤️ 2
    @maomaosang #43 我是查过 ip 归属地再去投诉的,你得先确定 ip 是运营商的家宽拨号 ip ,再加区号打对应省会的 10010 要求建立投诉工单,你需要知道这个 ip 是哪个省哪个市的,说明那几个 ip 分别在什么时段请求了你的 cdn ,造成了多少损失。前台客服可能不理解你说的这些,你要求他原文记录下你的描述,转后台安全部门给你处理
    maomaosang
        51
    maomaosang  
       171 天前
    @PerFectTime 还有一些是 IDC IP ,也可以通过这种方式吗
    0x49
        52
    0x49  
    OP
       171 天前
    4 月被刷流量的扬州 IDC 的 IP 段 58.220.40.0/24
    DT27
        53
    DT27  
       170 天前
    以前向运营商投诉过恶意攻击 ip ,客服回复让我报警。。。
    txydhr
        54
    txydhr  
       170 天前 via iPhone
    @DT27 感觉也可以~
    txydhr
        55
    txydhr  
       170 天前 via iPhone
    @fenglong 就是补贴、补贴家庭宽带不是家庭宽带亏损的意思
    louted
        56
    louted  
       170 天前
    @gorvey 算了吧也就 cf 一家不收费,akamai 和 fastly 都贵的
    fenglong
        57
    fenglong  
       170 天前
    @txydhr B 的营业额跟 A 的利润差不多,怎么得出 B 补贴 A 的结论的?
    txydhr
        58
    txydhr  
       170 天前 via iPhone
    @fenglong 你不觉得你说的自相矛盾么
    fenglong
        59
    fenglong  
       170 天前
    @txydhr 那你说说补贴是什么意思,我倒是好奇你认为不自相矛盾的说法。当年提速降费的时候,我专门看了中国移动财报,政企专线和 IDC 业务的营收加起来都没有总利润高,我不知道你们是怎么得出补贴家宽的结论。
    actck
        60
    actck  
       170 天前
    @fenglong 一群给高昂的 idc 网络找借口 实际上成本转嫁到自己身上都浑然不知的莫名其妙的人
    txydhr
        61
    txydhr  
       169 天前 via iPhone
    @fenglong 你先把会计学好
    fenglong
        62
    fenglong  
       169 天前
    @txydhr 来嘛,你教教我会计学

    中国移动 2022 年,IDC 收入 254 亿元,专线收入 306 亿,归母净利润 1254 亿,你用你的会计学教教我,254+306 总共 506 亿的营收是怎么做到补贴完个人业务之后剩下 1254 亿利润的

    https://www.chinamobileltd.com/sc/ir/sse_filings/sca230324a.pdf
    starinmars
        63
    starinmars  
       169 天前
    国内 CDN 有什么用? 公司拉条专线也不贵。
    txydhr
        64
    txydhr  
       168 天前 via iPhone
    @fenglong 自爆了,去从会计 1 读起吧,没义务教你
    fenglong
        65
    fenglong  
       168 天前
    @txydhr 对对对,几百亿补贴几千亿的亏本业务,剩一千多亿利润,这就是你的会计学
    fenglong
        66
    fenglong  
       168 天前
    @kaedeair #46 才看到你的回复。

    个人和家庭是一个独立核算业务,政企是另一个独立核算业务。如果按家宽来算,家宽需要补贴,那用的钱也是个人和家庭业务里的,不关政企业务的事。

    一定要说家宽是其他业务补贴的,那也只会是个人和家庭业务里的移动数据业务补贴的。
    kaedeair
        67
    kaedeair  
       168 天前
    @fenglong #66 但是提速降费政策是面向个人消费者与中小型企业的,而且你无法解释上行带宽为何如此昂贵。IDC 业务主要面向于互联网头部企业,本来这部分费用就是要企业出的,因此家庭宽带才有了廉价的下行带宽,而现在受益于 PCDN 的偏偏就是这些公司。本质上,宽带流量有上行流量才有下行流量,现在下行流量便宜了你想想上行流量的价格会怎么样。低廉的下行带宽能增加用户数量,然后你看看你这帮公司是怎么做的,一个二个都变着法子钻漏洞。最后,我从来没有说"政企"这两个字,我一直说的都是"企业"补贴家宽,专指上述对 IDC 有大量需求的企业。
    txydhr
        68
    txydhr  
       168 天前 via iPhone
    @fenglong 独立核算?自己看财报去。运营商自己都没拆分,你那些数字基本都是搞错了概念,太过初级。q 电信行业分析师公认的东西,你在这儿不承认。还独立核算?你不会把运营商内部绩效考核用的数字当成经审计的会计报表了吧。
    billccn
        69
    billccn  
       167 天前
    想出这么一个新策略,免费帮攻击者刷上传,加速他们被封:

    识别出攻击以后,把 TCP send window 降为 1 ,并且延迟发包,这样攻击者要反复重发一个几十字节的 ACK 包才能下到一个字节,上传要高于下载了。
    kang666
        70
    kang666  
       166 天前
    @vincent7245 你会被抓的
    fenglong
        71
    fenglong  
       166 天前
    @kaedeair 贵是因为垄断能多赚就多赚啊。如果贵就是补贴,那十年前 5 元 30MB 又是补贴哪个呢?现在的 5 元 1GB 又是补贴哪个呢?我的意思,如果说家宽是亏本的,需要补贴,那补贴来源也只会是家庭市场或者是跟家庭市场绑定的个人市场的收入。

    @txydhr 没独立核算,那财报里 CHBN 四大市场收入数字是你给的啊。你给我整笑了,又会计学,又分析师,又内部考核的。
    kaedeair
        72
    kaedeair  
       166 天前
    @fenglong #71 你要搞清楚一件事,这里的补贴是上行带宽补贴下行带宽,并不代表是亏损的。为什么必须下行带宽亏损售卖才行?果树上果子成熟了,大果卖贵点,小果买便宜点,这就是大果补贴小果;按你的意思小果还非得送人了,大果的钱不用来买肥料,用其他果树的果子赚的钱给这个果树买肥料,那我为啥不把这果树推了种别的果树?
    fenglong
        73
    fenglong  
       166 天前
    @kaedeair 因为个人家庭和企业分属两个业务板块,财务是分开的。打个比喻就是你家两兄弟都卖水果,你卖苹果引流卖别的赚钱,你哥卖苹果卖别的都赚钱,不能说是你哥卖苹果赚钱是用来补贴你苹果没赚的钱,因为你们财务是分开的。

    算了,就这样吧。我感觉你和我回复的另一位都没接触过同一家公司有多个财务独立的部门,只看业务一样就认为要相同业务的财务有交叉。鸡同鸭讲。
    txydhr
        74
    txydhr  
       165 天前 via iPhone
    @kaedeair 跟这种文盲真的没啥好讲的
    txydhr
        75
    txydhr  
       165 天前 via iPhone
    @kaedeair 他连财报都看不懂,我怀疑都没看
    kaedeair
        76
    kaedeair  
       165 天前
    @fenglong #73 没有上行流量,你下行流量卖给谁去,组局域网是吧?这两个是共生关系,能不能先搞清楚。之前 ISP 不能互联互通的时候,你看看谁是老大,再看看谁占有的 IDC 市场份额多。
    fenglong
        77
    fenglong  
       165 天前
    @txydhr 对对对,我看不懂财报。运营商分了 CHBN 四大板块报告收入,你说没分,因为你比我会看财报


    @kaedeair 我是从财务角度分的,不同财务板块按客户类型区分,而不是按业务类型区分,这是财务报告里写明的。你要说什么共生关系,我只能说,你说得对,我们都是粮食行业补贴的,没有粮食养活人,其他行业卖给谁去。
    txydhr
        78
    txydhr  
       165 天前 via iPhone
    @fenglong 你自己看看你写了啥,要命呢
    fenglong
        79
    fenglong  
       164 天前
    @txydhr 我的错,什么财报,什么四大市场营收数据,对你来说还是太复杂了。你应该多看点你说的行业公认的东西,这些东西才符合你的理解能力
    txydhr
        80
    txydhr  
       164 天前 via iPhone
    @fenglong 行业公认,哈哈哈哈哈哈啊哈
    xwybss
        81
    xwybss  
       163 天前
    @fenglong 移动个人业务主营是手机移动业务啊,宽带大把大把白送的好吧,看到白送还觉得很合理吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2763 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 14:25 · PVG 22:25 · LAX 06:25 · JFK 09:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.