V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
test9106
V2EX  ›  站长

cdn 被盗刷

  •  
  •   test9106 · 149 天前 · 4263 次点击
    这是一个创建于 149 天前的主题,其中的信息可能已经有所发展或是发生改变。
    动用了整段的 ip 地址来盗刷,查了下是联通的 ip ,一般什么人能拿到这种资源啊?损失了几万元,这种情况报警能被受理吗?谢谢
    44 条回复    2024-07-25 23:03:41 +08:00
    angeni
        1
    angeni  
       149 天前
    我也想知道,蹲个后续
    GoRoad
        2
    GoRoad  
       149 天前
    可以报警啊,你自己搜集好证据然后去报警吧,不过周期就会很长
    JohnYep
        3
    JohnYep  
       149 天前
    还记得之前 cnpm 被盗刷
    flymeto
        4
    flymeto  
       149 天前
    之前刷到有帖子发的,腾讯云被刷流量投诉找的客服,账单好像给免了,两三年前看的,具体记不清了
    likunyan
        5
    likunyan  
       149 天前
    没有防火墙吗
    thinkm
        6
    thinkm  
       149 天前
    CDN 没有鉴权,没有限速吗?
    FabricPath
        7
    FabricPath  
       149 天前
    盲猜被 PCDN 用户刷下行了,你给一个 IP 我瞅瞅
    ccsexyz
        8
    ccsexyz  
       149 天前 via iPhone
    跨省结算闹的 没有什么低成本的解法
    yinmin
        9
    yinmin  
       149 天前 via iPhone
    多半是同行竞争,除非刷量的 ip 是同行自己的机器,否则报警也估计没啥用(黑产都是黑别人的机器刷量的,ip 所有者也是被害者)。可以试试以 cdn 计费故障要求云服务商免单,别提被攻击的事情,多少都能免掉些。
    A4l1CteRQHlG1Bs8
        10
    A4l1CteRQHlG1Bs8  
       149 天前
    800 就可以报警了. 不过取证之类估计还是得找懂的
    mingtdlb
        11
    mingtdlb  
       149 天前
    @thinkm cdn waf ?好像要收费
    Fred0410
        12
    Fred0410  
       149 天前
    这个事件最近好像发生的频率有点高
    esee
        13
    esee  
       149 天前
    你被盗刷的是什么资源?图片还是视频?
    test9106
        14
    test9106  
    OP
       149 天前
    我们自己开发的 app ,纯粹的恶意盗刷
    test9106
        15
    test9106  
    OP
       149 天前
    @FabricPath 应该不是吧,都是整段的 ip 地址在盗刷
    esee
        16
    esee  
       149 天前
    @test9106 盗刷的 apk 的下载地址吗
    test9106
        17
    test9106  
    OP
       149 天前
    @esee 是的,就是很多 ip 不停的下载文件,刷流量
    opengps
        18
    opengps  
       149 天前
    这种情况大概率是竞争对手
    mioktiar56
        19
    mioktiar56  
       149 天前
    有一半得概率是云厂商自己搞的,让你买高防
    liuzimin
        20
    liuzimin  
       149 天前 via Android
    我们公司最近也遇到了,真是恶心啊。

    先开始是高频请求,刷一大把流量,而且是每天固定下班时间刷,把公司阿里云余额全刷完了,导致账号被禁用,业务中断。我们已经知道对方的 IP ,以及所在地市。

    然后根据阿里云的建议,我们开了 waf 防护,用频率来限制。前两天很成功,拦截了一大把攻击。昨天开始那个逼学聪明了,降低了请求频率,从而绕过了我们的防护规则,又被他刷了 400 块钱。艹他嘛的。

    阿里云让我们买 ddos 智能防护,但是说智能防护不保证能完全防住(那我买个屁,而且还不便宜),领导觉得阿里云好像不靠谱,建议我要不把业务转到华为云?我还没足够的调研,也不好确定华为云是否真的更靠谱。

    我已经报警了,去派出所录了笔录,提供了证据,不过后续警方会不会处理我就不知道了。
    liuzimin
        21
    liuzimin  
       149 天前 via Android
    “情况报警能被受理吗”

    受理是会受理的,毕竟你都有经济损失了,我这边去都录笔录了。但后续能不能让烂皮炎攻击者绳之以法,就不知道了。
    duanxianze
        22
    duanxianze  
       149 天前
    @liuzimin 并不会 你用啥云服务都一样的,而且华为云还没有阿里云好用
    liuzimin
        23
    liuzimin  
       149 天前 via Android
    @duanxianze 唉,是吧。我猜也是。。。目前还在受攻击。真是难搞。
    Chaiii
        24
    Chaiii  
       149 天前
    @liuzimin 确实有一种假设,像云厂商内部完全可以有独立的队伍(对外肯定称不是自己人)搞这种对自家已经建立依赖的商业客户进行攻击的操作,然后让你买他的防御业务,等你买了一段时间后,攻击升级,你的防御也得被迫升级。真是这样的话,直接变成云厂商玩具算了。
    test9106
        25
    test9106  
    OP
       149 天前
    @liuzimin 攻击 ip 固定的话,可以直接封 ip
    tianzi123
        26
    tianzi123  
       149 天前
    @liuzimin #21 3000 以下不立案
    liuzimin
        27
    liuzimin  
       149 天前 via Android
    @tianzi123 我们目前损失近 6K
    defunct9
        28
    defunct9  
       149 天前
    我呸,这就是 cdn 厂商自己干的
    liuzimin
        29
    liuzimin  
       149 天前 via Android
    @test9106 是的,攻击我们的 IP 比较固定,我们最开始也是拉黑名单。后来同事说设白名单不是更狠吗,就直接把服务器域名设为白名单。结果昨晚被爆破了。。。

    问阿里云售后,说什么 waf 白名单的意思,是指白名单里的主机流量不会受 waf 审查,直接放行,但不拒绝白名单以外的流量!!不拒绝!!我操。还有这种白名单,我真他妈吐了。文档里好像也没写啊。
    kyznever
        30
    kyznever  
       149 天前
    cdn 可以添加规则吗?针对 IP 的访问次数
    liuzimin
        31
    liuzimin  
       149 天前 via Android
    @kyznever 升级 DCDN 后有个 waf 安全防护,可以建立自定义规则限制请求频次,超过频次就拉黑该 IP 。。。但是有的攻击者很聪明伶俐,发现对方有这个防护,就把请求频次变低,但一样拉满带宽,绕过频次限制,继续攻击。
    ninvfeng2020
        32
    ninvfeng2020  
       149 天前
    想到一个方案:单独整台固定带宽的服务器当入口,比如就 2M 或 5M 啥的,然后有攻击的话把流量切换到 cloudflare 。这样固定带宽有攻击也就是被打黑洞,起码不会有额外费用
    test9106
        33
    test9106  
    OP
       149 天前
    @liuzimin 还是直接把攻击 IP 放黑名单比较靠谱,并且这个不需要 waf ,cdn 就有这个功能,没有额外费用。
    liuzimin
        34
    liuzimin  
       149 天前 via Android
    @test9106 主要是怕攻击者 IP 会变,所以还是想在 waf 里配一个阈值规则。
    liuzimin
        35
    liuzimin  
       149 天前 via Android
    @test9106 而且好像 cdn 不太好查看攻击者 IP ?我暂时没找到地方。waf 的攻击者 TOP10 列表看攻击者 IP 挺直观的。
    test9106
        36
    test9106  
    OP
       149 天前
    @liuzimin 可以从 cdn 日志里找
    hunkjun
        37
    hunkjun  
       149 天前
    cdn 添加 url 鉴权吧,找客服要优惠卷!
    misoomang
        38
    misoomang  
       149 天前
    最近做了公司内部 CDN 流量预警方面的功能,目前根据各平台 CDN Top20 的 IP 访问流量和访问次数作为依据(这方面数据可以用 SDK 获取),同时结合业务的相关访问日志,然后设定对应规则,到达阈值自动封禁,单 IP 类可能误封,因为有可能是局域网的出口 IP ,可根据具体实际情况看待;但如果是 C 类地址网段类基本上能确认封禁。国内的话目前还是比较推荐腾讯云 EdgeOne ,安全防护类的功能相对性完善一点,比如常见的 Web 防护,Bot 管理之类的
    FabricPath
        39
    FabricPath  
       148 天前
    @test9106 联通的网段就是整块的,比如某个区域的出口用一个/24 ,这个区域下面如果几百条宽带刷你的话,你看到的就是这个效果。你给个 IP 我瞅瞅就造了
    test9106
        40
    test9106  
    OP
       148 天前
    @FabricPath 比如 119.188.60.0/24
    test9106
        41
    test9106  
    OP
       146 天前
    去报案了,警察说这不属于违法犯罪行为,因为应用本来就是放在网站上可以公开下载的,怎么反驳呢
    zjttfs
        42
    zjttfs  
       136 天前
    @liuzimin 一摸一样.天天来.开始频次还能限制. 现在频次也不行了.
    RangerWolf
        43
    RangerWolf  
       119 天前
    @misoomang 有更详细的预警规则嘛? 害怕,我们下周上线新产品。。。
    youliabc
        44
    youliabc  
       119 天前
    我的账单更多,后续怎么处理的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1808 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 16:33 · PVG 00:33 · LAX 08:33 · JFK 11:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.