突发，众多网站流量被盗刷！

2024 年 07 月 10 日

310 次浏览

2694字数

这两天发生了一件震惊 IT 圈的大事，很多程序员博主的网站竟然同时被恶意攻击，盗刷了大把流量费。
那为什么会被同时被攻击？攻击会让我们损失了多少钱？怎么预防被刷流量？
这事儿可没那么简单，且听我娓娓道来。
经过数据分析，其他博主被刷CDN流量的客户端主要都来自山西，而且我们被刷流量的现象是一模一样的：
都是晚上 7 点左右开始作案
都是每小时刷几十 G 的流量
都是只持续了几个小时，然后事了拂衣去，深藏功与名

显然，我们是被同一波人盯上了。但奇怪的是，他们竟然不全天刷流量，而是每天刷完几个小时就停手了。
不行，怎么还有点小感动。。
本来我在猜测，是不是我们这些程序员博主动了谁的蛋糕？针对我们这些人进行攻击。但是，突然发生在我身上的另一件事，让我觉得事情没那么简单。。。还有高手？
什么事情呢？有位读者反馈说自己突然无法访问我们的编程导航网站了，但其他网站都能正常访问。
因为这个网站我们接入了某家的高防 CDN，我就到后台看，这位用户的 IP 并没有封禁呀？
腾讯云的技术支持说：最近山西那边全部是攻击，腾讯都被那边打了，全是家庭带宽的 IP，腾讯云那边的建议是把整个大段路由全拦截掉。

山西，等等，我突然想到了什么，我们被刷 CDN 流量的客户端不正是来自山西吗？
而且经过调研，不止我们这些程序员博主，很多公司和个人开发者、甚至据说很多高校的开源镜像站也被盗刷了流量。看来我们不是被针对了，而是被开地图炮无差别攻击。

1.攻击者的意图：

通过调研，发现网上有这么几种猜测：
1）怀疑某家云服务商在监守自盗
这显然不太可能，因为不止一家，各大云服务商（阿里、腾讯、百度、七牛）的 CDN 都有类似的情况。
2）一些地方运营商在刷，说是他们有跨省结算问题，会通过刷流量来打平内部账单
3）违规使用家庭宽带的黑心 IDC（数据中心）通过 PCDN 刷下载流量来降低上传 / 下载比例，来避免被运营商发现。
其实 2 和 3 可以算是同一种情况，这里我们只要了解几个概念，就能理解攻击者这么做的理由了。
1）首先是省间结算，是指运营商在不同省份之间进行业务结算。由于网络服务通常跨多个省份，而每个省份的网络都是独立运营的，因此在用户使用跨省的网络资源时，需要进行费用结算。运营商需要统计跨省的数据流量，并根据相关协议进行费用分摊和结算，这样有助于确保各省份的运营商在提供服务时的公平性。
2）PCDN，也就是 P2P + CDN，英文全称是 Peer to Peer Content Delivery Network，即点对点内容分发网络。这是一种利用用户的终端设备（比如家庭宽带路由器、个人电脑）来缓存和分发内容的技术。以前下载内容都要从中心服务器下载，而有了 PCDN 后，用户之间可以直接点对点连接来传输数据，这样一来服务器也省了流量、用户也能更快地上传下载内容。

听起来是不是很不错，美滋滋啊，但就是这样一个牛掰的技术，却遭到了运营商的封杀。。
为啥？当然是影响利益了！
一方面是海量 PCDN 的流量传输会对运营商网络造成压力，而且由于 PCDN 常常涉及跨省数据传输，导致运营商在省间结算时需要支付更多费用，属实是出力不讨好。
另外一方面，现在很多服务商选择更便宜的 PCDN 技术，不租你运营商的带宽了，直接抢走了运营商的收入。
因此，在省间结算期间，运营商会加大对 PCDN 等非法消耗跨省网络资源用户的打击。而最容易被盯上的，就是符合 PCDN 特点 —— 上传流量远大于下载流量的用户。
在这个背景下，如果被盯上的是你，你会怎么做呢？
当然是狂刷下载流量，来平衡上传 / 下载比例，防止被封杀呀！所以越是有大文件资源的网站，比如镜像站点、软件安装站点，越容易被成为猎杀对象。
而且晚上正好是 PCDN 上传高峰期，所以一切都变得合理了。

2.怎么防止被刷流量？

其中提到几点：
要保护好自己服务的唯一标识
要严格控制访问权限
要严格配置监控告警
要配置 IP 访问限频和用量封顶

其实这次因为攻击 IP 基本都是动态的家庭宽带，跟正常用户基本没有区别，所以也没有触发告警，有点儿温水煮青蛙的意思了。。

所以还是那个建议，能不用 CDN 就别用！想想你的网站的访问量，是否真的有必要用 CDN 呢？
这段时间有自己网站的朋友们，也要注意保护好自己的网站，多看看数据监控。一旦发现有些异常的客户端 IP，可以用黑名单封禁掉，或者这段时间整个封禁以下山西的网段：