近日来陆续发现大佬被刷,说一下我的经历吧!我在6日晚上7-8点被华为云的消息惊醒,好在提前设置了CDN限制规则,域名及时下线!不然又是产生一笔不少的费用。

但是第一天还是刷了20G!一共刷了两天,一共搞了50多G流量,之后就全量切换到群友的CDN上了,在这里感谢了令闻云端提供的服务。

前情提要,6号晚上,在十年之约的群里发布了网站被刷流的消息,引起不少大佬的注意。那时候也有小范围的事情不少网站也被刷了流量。8点的时候联系华为的CDN工程师,帮我调取了访问日志.还有及时采取了域名下线的方式。

那时候工程师给我反馈是一个山西IP进行刷流量,神奇的查看是一张300K的图片刷了20G。我也设置QPS和流量下线.但是在控制台的QPS显示,统计根本没有这么大流量,反而是触发了流量封顶下线。

华为那边工程师叫我把这个Ip拉黑。当天晚上拉黑后流量下来了,4xx页面开始增加,证明规则起到了作用,这个时候群里的群友联系我给我赞助了一个国内CDN。

0c095b2eea870bfcb048e40145c7181d.png

第二天也就是7号,也是晚上的7-8点,还是触发了流量限制域名。攻击者换了另外的IP来进行攻击。导致一个小时刷了几十G,后来联系群友帮忙配置了自建的CDN加速,这里完成了CDN切换,这里再一次感谢一下大佬耐心的指导和提供的服务。

结合各方的消息,该次是攻击者选择站内的文件比较大的图片,如图片、css、视频等文件,实施刷流,导致流量飙升,一些购买的付费CDN的服务的站长,甚至欠费不少。不少人已经选择报警处理,本人也联系了当地网警部门反馈处理。

IP攻击者的IP分别: 基本上是联通网络 山西\安徽\江苏等地区,如果发现ip相关度集中可以屏蔽。甚至伴随着扫描服务器漏洞、挂马、爆破等等的入侵攻击。

在这里公布一下相关的IP段,给大伙设置好相关规则。

使用CDN使用相关的安全设置:ip黑名单、QPS限制、流量封顶限制、UA黑名单、带宽限速等。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
116.179.0.0/16
124.163.207.0/24
124.163.208.0/24
221.205.169.0/24
118.81.184.0/24
221.205.168.0/24
221.205.169.0/24
211.90.146.0/24
221.205.164.0/24
211.90.146.0/24
221.205.169.0/24
221.205.169.0/24
183.185.14.0/24
118.81.184.0/24
211.90.146.0/24
221.205.168.0/23
112.229.8.0/24
39.71.180.0/24
119.188.69.0/24
119.188.197.0/24
119.188.60.0/24
119.188.63.0/24
27.221.70.0/24
60.221.231.0/24
120.132.82.0/24
36.155.119.0/24
36.155.88.0/24
112.48.189.0/24
140.249.121.0/24
221.205.169.0/24
119.118.60.0/24
119.118.88.0/24
119.118.197.0/24
119.118.69.0/24
119.118.63.0/24
119.118.65.0/24
124.163.208.0/24
124.163.207.0/24
183.185.14.0/24