近期，多个使用CDN的网站遭遇恶意刷量，IP来源地集中在山西联通。这并非黑客攻击，而是可能与PCDN相关产业有关。这些恶意行为通过伪造数据不停地发起请求并下载，产生大量下载流量，以此来平衡与上传的流量，避免被运营商判定为PCDN。建议网站和运维人士检查访问日志，如发现恶意IP应直接拉黑。这起事件再次提醒我们，网络安全防范不容忽视。

🔍 恶意刷量的IP来源地集中为山西联通，网段包括60.221.231.*、221.205.*.*、221.90.*.*。这些网段分布在山西省不同的地市，但运营商均为中国联通。

🔍 与黑客攻击不同，此次恶意刷量不太可能全部集中在山西联通的IP地址段。初步猜测可能与PCDN相关产业有关，即部分运营商打击PCDN并通过监测上下行流量来判断用户是否可能使用PCDN。

🔍 PCDN可能通过伪造数据不停地发起请求并下载，产生大量下载流量，以此来平衡与上传的流量，避免被运营商判定为PCDN。这种行为会导致使用CDN的网站产生高额的费用账单。

🔍 建议网站和运维人士检查网站访问日志，特别是7月7日的访问日志，看是否有类似的高频请求问题。如发现恶意IP，应直接拉黑整个IP段，避免不停地请求浪费CDN流量同时可能影响网站稳定性。

近期蓝点网注意到多个使用 CDN 的网站遭到恶意刷量，这些恶意刷量背后的人可能和 PCDN 相关的产业有关，即故意拉取和消耗某些网站托管的 CDN 文件来平衡自己的上传和下载。

CDN 即内容分发网络，通常网站使用内容分发网络加速网站的加载速度，而 CDN 是按照带宽和流量计费的，无论哪种方式遇到恶意刷量都会产生高额的费用账单。

本次恶意刷量的 IP 来源地集中为山西联通，网段包括 60.221.231.*、221.205.*.*、221.90.*.*，经过查询这些网段分布在山西省不同的地市，但运营商均为中国联通。

通常情况下如果是黑客攻击可能会选择使用境外 IP 地址发起攻击，不太可能全部集中在山西联通的 IP 地址段，因此猜测这并不是常规的网络攻击。

在 V2EX 上也有帖子讨论这件事，目前初步猜测可能是 PCDN 相关的东西，即因为部分运营商打击 PCDN 并通过监测上下行流量来判断用户是否可能使用 PCDN。

如果用户存在巨量上传但下载量非常小那可能就是 PCDN，基于这段时间部分 PCDN 相关的从业者会伪造 BT 数据从 BT 网络里无限下载流量，而现在盯上网站刷 CDN 流量可能也是类似的原因。

使用 CDN 的网站资源加载速度通常极快，因为按流量计费的 CDN 带宽可以高达 500Mbps 甚至更高，这种情况下 PCDN 只需要伪造数据不停地发起请求并下载就可以产生大量的下载流量，以此来平衡与上传的流量，避免被运营商判定为 PCDN。

在这里也建议各位网站和运维人士检查网站访问日志(建议排查 7 月 7 日的访问日志)看看是否有类似的高频请求问题，如发现恶意 IP 应当直接拉黑整个 IP 段，避免不停地请求浪费 CDN 流量同时可能影响网站稳定性。

相关内容：被狗咬了！- Guide – 微信公众号