早前蓝点网提到近期来自山西联通的大量 IP 地址对各类网站 CDN 服务器进行刷量,这种刷量不算是 DDoS 或 CC 攻击,被刷量的主要是静态文件因此不会对服务器负载造成太大影响。
与其他站长讨论后蓝点网猜测这些刷量 IP 段可能是来自 PCDN 运营者,这些人为了避免出现大量的上传而下载量较低估计刷量将下载量与上传量平衡用来躲避运营商的检测。
但这种操作对各大网站来说是个极其糟糕的事情,因为网站使用的 CDN 服务器是要按照带宽或流量进行计费的,刷量意味着网站将要付出很多不必要的成本。
值得注意的是近期用来刷量的 IP 地址段已经扩散了,包括江苏联通和安徽联通也出现类似的刷量 IP 段,这可能是和中国联通打击 PCDN 的力度更强有关。
攻击者通常在每天晚上 19:50 开始刷量到 23:00 结束,他们会挑选一些网站的静态文件例如体积较大的图片、视频、安装包或脚本等发出大量的请求消耗带宽和流量,蓝点网此前也在网站日志中发现了类似的情况。
有两名企业 IT 管理员也向蓝点网反馈遭到了刷量,其中一个企业被刷的流量高达 20TB,这些流量可能会让企业额外支付 1.5~3 万元的 CDN 费用。
蓝点网还与国内部分高校的开源镜像站管理员进行了讨论,这些开源镜像站也是被刷量的重点网站,这些网站托管了很多大文件并且提供非常高的带宽,因此也被 PCDN 刷量者盯上了。
在 V2EX 讨论帖中也有网友收集了不少恶意 IP 段,建议使用 CDN 的网站及时将这些 IP 段拉黑,避免产生高额的流量费。
下面是重点、活跃的刷量 IP 段:
- 60.221.195.0/2460.220.182.0/2461.160.233.0/2460.221.231.0/24
其他建议屏蔽的 IP 段:
- 221.205.168.0/23211.90.146.0/24122.195.22.0/24118.81.184.0/23124.163.207.0/24124.163.208.0/24183.185.14.0/2436.35.38.0/24
请注意:一旦拉黑这些 IP 段可能会影响极少部分用户的正常访问,对企业来说如果已经被刷量并且产生高额的流量费建议报警,毕竟通过 IP 地址和访问日志是可以轻松找到攻击者的。
另外站长检查访问日志时可以多注意 Java/1.8.0_91 这个 UA 产生的访问,或者排查所有带有 Java 字符串的访问,这些可能是刷量者使用的工具的 UserAgent。
