首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拉钩
V2EX  ›  程序员

教训:今天第一次遇到有人恶意刷流量,腾讯云让用户自己买单

  •  
  •   mclxly · 63 天前 · 5568 次点击
    这是一个创建于 63 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事情是这样的:

    1. 上午随手回复了这个帖子: https://www.v2ex.com/t/496053
    2. 15:17 收到短信提示 CDN 流量包(10G)耗尽
    3. 马上登录腾讯云,看到: https://i.imgur.com/UjPp7nq.png https://i.imgur.com/jTWyd4l.png
    4. 立刻发工单,查看了日志发现是这个 IP 发出的恶意请求: https://i.imgur.com/IhdHdG9.png
    5. 笨希望官方能消除这种明显恶意请求造成的流量,然而得到的是用户自己买单: https://i.imgur.com/P6YXWBb.png

    最后,请教大家怎么提防这种情况的?

    最后的最后,只能诅咒谴责此人(此人肯定也经常在 V2EX 混),浪费我一下午时间 + 30G 流量。

    58 回复  |  直到 2018-10-12 13:03:38 +08:00
        1
    dorothyREN   63 天前
    资源你使用了没,使用了那就应该你买单。
        2
    mclxly   63 天前
    @dorothyREN 问题是明显是恶意请求啊,大量类似请求:


    买单我也认了,只怪自己大意 /技术不精。给大家也提个醒,顺便学习一下预防之道。
        3
    smilepig   63 天前
    我也感觉应该是用户自己买单。毕竟不管怎么说流量都是给你用了。(虽然可能是被别人恶意用的)
        4
    smilepig   63 天前
    上 waf 可以
        5
    liuxu   63 天前   ♥ 1
    CDN 可以设置访问限制,
    IP 访问限频配置
    通过对单 IP 单节点 QPS 限制,可防御部分 CC 攻击。
        6
    beny2mor   63 天前
    腾讯云应该是有设置的吧...
        7
    sgq1128   63 天前
    加时间戳防盗链签名咯,不过这人也真是素质低
        8
    jy02201949   63 天前
    额,跟运营商的卡一样,用了就认呗
        9
    MiniGhost   63 天前
    还好吧,30G 流量也就十几块钱吧。 也当是花钱买个经验了,在后台 CDN 里面限制一下单 IP 量就好了
        10
    iConnect   63 天前 via Android
    排除腾讯云攻守自盗的恶意,没有防护措施的服务器,真是人见人爱的小白兔
        11
    898601566   63 天前
    是流量付费吗?
        12
    o0   63 天前 via iPhone
    一场广告帖导致的惨案,好在 lz 的海景房还在,哈哈。
    今天下午又捣腾了一下 cos 和 cdn,感觉腾讯云给出的相关配置项越来越完善了,所以 lz 可以搞一下。
        13
    jadec0der   63 天前
    就算是恶意流量,腾讯也要给 ISP 交钱的啊
        14
    realpg   63 天前
    让你买单就对了啊
        15
    tshwangq   63 天前
    多沟通沟通。 这种情况免单或者部分免单是可以的
        16
    98jiang   63 天前
    搞不懂为什么要这样做,他能得到什么好处么
        17
    wenzhoou   63 天前 via Android
    万一人家就是 tx 云的人呢。
        18
    CEBBCAT   63 天前 via Android
    腾讯没错
        19
    mclxly   63 天前
    @liuxu @MiniGhost IP 已加

    @sgq1128 确实低

    @iConnect 除了浪费资源实在看不出有什么好欺负的

    @898601566 是的

    @o0 小站本不打算搞,看来得加强安全了

    感谢大家~
        20
    nazznazz   63 天前
    楼主好,我是那个帖子的主人。。
    今天网站被攻击了。。现在服务商那边关闭了网站
    对你的损失真的感到抱歉,都怪我网站还没有完善就发出来分享,真的非常抱歉
    可以加我 qq 聊 505754021
        21
    mclxly   63 天前
    @nazznazz 明天加你
        22
    nosay   63 天前 via iPhone
    素质真心低,损人还不利己。
        23
    DZBM   63 天前
    让服务商过滤给你“恶意”流量,你这要求也太苛刻了,问题在于你让他如何判断正常流量与恶意流量。而且你原本可以进行安全配置来规避的(比如 IP 黑白名单、IP 访问限频等)。安全限制没有设置,你消耗了你买单,没毛病。
        24
    580a388da131   63 天前
    你如果加了一些主机群就知道了,蛋疼的人多的是,手上有流量,闲着无聊就找个站打过去了。
        25
    zyxk   63 天前
    我的七牛有 100 多余额,被刷成了负四百多,有啥办法,只好放弃帐号了。
    七牛之前是月结后才停用帐号了。现在不知道了
        26
    LanFomalhaut   63 天前
    纯 CDN 本来就不提供防护 这种免单全看对方心情 不同意很正常 毕竟服务商得就这部分流量掏钱出去的
        27
    dnsaq   63 天前 via iPhone
    按带宽峰值算可能没这种问题一般都走公式计算来的会算平均值的吧
        28
    mclxly   63 天前
    @DZBM IP 黑名单没用,动态 IP。有日志,恶意流量很容易判断,怼着一个大图片不停请求。

    @580a388da131 @zyxk 只能自己加强安全了

    @dnsaq 我是按流量,平时流量少
        29
    dorothyREN   63 天前
    @mclxly 恶意请求也是你使用了资源啊,打个比方说 : 你网站的注册验证码被人刷了,你要去找短信公司要说法吗?安全防护应该是你要做的,而不是运营方做的。
        30
    wonpain   63 天前 via Android
    我算了一下 CDN 0.21 元 /GB。30 多 G 也就 6,7 块,这也算恶意刷流量?
        31
    eliteYang   63 天前
    确实应该是你自己处理啊,流量还是给你用了,这种恶意攻击,要么就买大流量,要么就买安全加固
        32
    lengyihan   63 天前 via Android
    最好是提供多少限制。比如我设置 10g 流量,用完就给我停了服务。
        33
    mclxly   62 天前
    @dorothyREN 从人性化角度来说,有些安全配置应该默认开启的。

    @wonpain 日志摆在那,还不是恶意,咱三观不同。你的网站快上 CDN,让你尝个鲜..............开个玩笑

    @lengyihan 商人重利轻人性
        34
    mclxly   62 天前
    捣鼓了一上午,加了"过滤参数配置"、"防盗链配置"和“ IP 访问限频配置”。

    谁知道"IP 黑白名单配置"怎么使用?黑名单肯定没用,对方动态 IP。白名单更扯,用户 IP 谁知道。
        35
    dorothyREN   62 天前
    @mclxly 换句话说 你自己做压测,跟别人恶意访问,这两个有什么区别。你让运营商怎么来区分。
        36
    mclxly   62 天前
    @dorothyREN 我认了。不扯这个了。咱扯怎么防盗刷吧
        37
    ShareDuck   62 天前
    换个角度想,这么低成本就让你注意到之前不在意的安全问题,避免之后有更大的损失,这是好事。
        38
    dorothyREN   62 天前
    @mclxly 讲道理,只要人家真心想刷,你是防不住的。除非你关站
        39
    solomensec   62 天前 via iPhone
    典型 cc,加个 Waf,请求过快就屏蔽,多线程请求过快就屏蔽,完美解决。
        40
    o0   62 天前
    控制面板里面的 qps 还是什么有一个系统推荐的值(貌似是根据 30 天内平均值)而定,相当人性化了,在不需要人工参考任何数值的情况下,直接点开启按钮就可以默认设置为系统推荐值,也可以自己设置具体点的值。
    要是给每个用户默认上一个假设流量比较低的限制,只怕会有更多用户莫名其妙无法访问以为平台出故障了,真要做到极致是不是得上个智能感应异常流量的功能?
    IP 黑 /白名单,一般应该是黑名单用得多吧,在流量出现异常后查看日志,将恶意 IP 或者某段全部加入黑名单,虽然看起来效率很低,但很管用的。
    始终认为不要无脑上 CDN,动态网站加一层不是“云减速”吗,而且人家一打就打到 CDN 上面,既消耗流量又加重源站负担。
    关于服务商道德问题,一般国内大厂(阿里、腾讯等等)多少都提供了比较完善的功能配置,lz 很幸运,要是某些小厂的话,根本不给你提供上面说的那些安全配置项,欠费多到你只能跑路(弃用帐号)。
        41
    mclxly   62 天前
    @dorothyREN 确实防不住

    此人又开始了刷了,吃了饭下午再战。


    。。。
    123.207.23.62 - - [11/Oct/2018:11:02:38 +0800] "GET /upload/2018/01/26/Ew1rjn5PVZMvqQ8hxz78V3Z3MmAPVs5Pb8XHUmgP.jpeg13 HTTP/1.1" 301 178 "-" "tencent-httputils/1.1"
    139.199.153.105 - - [11/Oct/2018:11:02:38 +0800] "GET /upload/2018/01/26/Ew1rjn5PVZMvqQ8hxz78V3Z3MmAPVs5Pb8XHUmgP.jpeg32 HTTP/1.1" 301 178 "-" "tencent-httputils/1.1"
    。。。

    tencent-httputils 什么鬼?
        42
    SakuraKuma   62 天前
    防不住的,什么都能伪造,代理池走一波。
    所以小站还是固定带宽的小机子吧,别上什么流量计费的了。
        43
    LanAiFaZuo   62 天前
    @mclxly 你可以把 ip 提供给网站大佬,让他封网站 id
        44
    LokiSharp   62 天前
    防不住的,再大的站只要公开就防不了爬虫
        45
    wonpain   62 天前
    @mclxly 无意冒犯,我意思是服务商如果连 6 块钱的流量不放行,它靠什么挣钱。
    另外腾讯云有宽带封顶配置,
    ![]( )
        46
    mclxly   62 天前
    @o0 IP 基本上用不了,动态的
        47
    mclxly   62 天前
    @wonpain 我设置的是 50Mbps,感觉没啥用,半个钟头给我刷了 8GB。估计对方 IP 池攻击
        48
    yunlongzzj   62 天前
    昨天就看到那个帖子了,一直想观摩一下,结果一直打不开,太惨了.
        49
    bzzhou   62 天前
    为啥要腾讯买单?腾讯咋知道是不是你用这个接口来同步数据呢
        50
    mclxly   62 天前
    @yunlongzzj 你搞错了,我不是那个帖子的楼主。

    @bzzhou 哥们,不要纠结这个了,我都说认了。
        51
    xuhaoyangx   62 天前
    小站 都挂 cf 的路过
        52
    90928yao   62 天前
    针对 ip 限流,针对访问限流。redis 弄下蛮方便的,request 进来的时候判断,单个 ip 太多 ban,每秒请求过多 ban 掉所有请求
        53
    nosay   62 天前
    一开始从单一的 ip 进化成代理池了啊...
    看来真的拿楼主网站练手来了,好惨.
    不过从 41 楼的日志来看,有点像是腾讯云的压测服务,ip 也是腾讯的,感觉楼主可以向官方反馈一下.
    同情楼主,这种情况好像真没什么好办法...
        54
    woyao   62 天前
    @mclxly 那二个 IP 都是 IDC 的机器。
    "service_provider": "Shenzhen Tencent Computer Systems Company Limited",
    "user_type": "境内 IDC"
        55
    mclxly   62 天前
    @90928yao 上了 CDN 流量不走服务器咋判断

    @nosay 昨天怼了 15G,还没找到啥好办法

    @woyao 查了日志,国外的 IP 也有,国内也有,没啥明显规律
        56
    abccccabc   61 天前
    楼主,封 IP 呗,因为走的是你 CDN 的流量,估计它是单独抓你图片或者体积较大的文件。看 CDN 后台能不能控制频率或自动封 IP。
        57
    abccccabc   61 天前
    楼主,要不把图片弄到我的 VPS 上,帮你顶个一两天。目前我的 VPS 一直空着,做个站,一天连个 IP 都没有。流量空着也是空着。

    话说,做正规站的,谁和我一租这个 VPS 呀,帮我省点钱。只要你的网站流量一个月不超过 1T 就行,基本上每天上万的 IP 了。
        58
    mclxly   61 天前
    @abccccabc 看起来对方用了 IP 池类技术。感谢好意,下架了 CDN 对方也消停了。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3720 人在线   最高记录 4019   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 22ms · UTC 02:29 · PVG 10:29 · LAX 18:29 · JFK 21:29
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1