关于CDN遭遇恶意流量攻击的说明

关于CDN遭遇恶意流量攻击的说明

之前使用阿里云CDN时遭受过攻击，无奈阿里云不给你分析具体数据，自己下载日志又没有分析出所以然，只得迁移到腾讯云CDN（必须好评）。在此次遭受的攻击中，虽然宕机服务不及时，消耗了10多G流量，但它分析功能让我直接找到了被攻击的资源。

删除被攻击的资源，恢复访问第一时间刷新预热，取消空referer访问的许可，并进一步分析数据。

分析日志发现攻击来自IP段：118.81.184.xxx，偶然发现跟多吉云的公告的很像，攻击 19:50 开始，IP来自山西

现象

这类流量攻击时间规律，每天 19:50 左右开始，23:00 准时结束。

受害网站来源广泛，有多吉云 CDN 用户，也有阿里、腾讯、七牛、又拍等国内其他 CDN 服务商的用户。攻击者会挑选体积较大的静态文件，例如视频、安装包、体积较大的图片或脚本等，在攻击期间，不断请求这个文件，消耗受害网站的 CDN 流量。

一开始此类攻击只针对体量稍大一些的网站，被多吉云的流量激增监测系统发现并提醒用户，用户自主或在我们协助下针对性封禁后，问题即解决。自本月初开始，攻击者开始无差别针对中小网站进行攻击，每晚都有大量中小网站新增为受害者，在不设置访问控制措施的情况下，小型网站每晚可受到约 50 ~ 300GB 的恶意流量。

我们推测此类攻击可能与运营商省间结算政策施行后，某些地区的高上传家宽用户（例如 PCDN 等）为了躲避运营商封杀，降低“上传/下载”比例，人为刷下载流量的行为有关。

应对

​ 删除被攻击资源，恢复访问刷新预热，取消空referer访问的许可，添加IP黑名单。

经过实践，发现取消许可空referer的访问能够抵御大部分攻击流量（不是所有），但是也会消耗HTTPS请求（很贵的，比如腾讯）呜呜呜。

HTTPS 请求数（万次）	价格（元/万次）
0 – 300（含）	免费
大于 300	0.05

另外添加UA黑名单，以及IP黑名单。

UA黑名单（备注：|为间隔符）：

Go-http-client|python-requests|Python-urllib|ManicTime|Dalvik|okhttp|imgproxy|go-resty|package|Java

IP黑名单

解释8.140.60.0/24
14.216.3.0/24
27.221.70.0/24
36.249.150.0/24
39.148.59.0/24
42.48.210.0/24
47.76.99.0/24
52.80.96.0/24
52.81.33.0/24
52.81.207.0/24
52.81.237.0/24
58.220.40.0/24
60.190.128.0/24
60.220.182.21
60.221.195.0/24
60.221.231.0/24
61.146.45.0/24
61.241.177.0/24
84.247.148.0/24
104.247.192.0/24
104.247.192.0/24
107.149.204.0/24
107.165.206.0/24
110.40.20.0/24
110.40.39.0/24
111.29.162.0/24
111.121.27.0/24
112.1.74.0/24
112.38.176.0/24
112.48.31.0/24
113.231.202.0/24
117.182.0.0/24
171.118.129.0/24
118.81.184.0/24
118.178.91.0/24
183.25.121.0/24
120.216.239.0/24
122.195.22.0/24
123.234.222.0/24
124.163.207.0/24
124.163.208.0/24
124.221.36.0/24
124.222.56.0/24
139.213.47.0/24
153.101.64.0/24
173.245.76.0/24
175.42.154.0/24
175.42.155.0/24
175.44.72.0/24
175.44.73.0/24
183.185.14.0/24
183.224.221.0/24
220.231.145.0/24
220.248.203.0/24
203.83.11.0/24
221.7.251.0/24
221.90.0.0/15
211.90.146.0/24
211.90.147.0/24
211.93.170.0/24
221.204.0.0/15
221.205.164.0/24
221.205.168.0/24
221.205.169.0/24
221.213.7.0/24
222.189.163.0/24
223.81.249.0/24

参考链接公告 - 多吉云