V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mclxly
V2EX  ›  程序员

教训:今天第一次遇到有人恶意刷流量,腾讯云让用户自己买单

  •  
  •   mclxly · 2018-10-10 16:49:37 +08:00 · 11089 次点击
    这是一个创建于 2221 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事情是这样的:

    1. 上午随手回复了这个帖子: https://www.v2ex.com/t/496053
    2. 15:17 收到短信提示 CDN 流量包(10G)耗尽
    3. 马上登录腾讯云,看到: https://i.imgur.com/UjPp7nq.png https://i.imgur.com/jTWyd4l.png
    4. 立刻发工单,查看了日志发现是这个 IP 发出的恶意请求: https://i.imgur.com/IhdHdG9.png
    5. 笨希望官方能消除这种明显恶意请求造成的流量,然而得到的是用户自己买单: https://i.imgur.com/P6YXWBb.png

    最后,请教大家怎么提防这种情况的?

    最后的最后,只能诅咒谴责此人(此人肯定也经常在 V2EX 混),浪费我一下午时间 + 30G 流量。

    58 条回复    2018-10-12 13:03:38 +08:00
    dorothyREN
        1
    dorothyREN  
       2018-10-10 16:53:35 +08:00
    资源你使用了没,使用了那就应该你买单。
    mclxly
        2
    mclxly  
    OP
       2018-10-10 16:58:26 +08:00
    @dorothyREN 问题是明显是恶意请求啊,大量类似请求:


    买单我也认了,只怪自己大意 /技术不精。给大家也提个醒,顺便学习一下预防之道。
    smilepig
        3
    smilepig  
       2018-10-10 17:00:25 +08:00
    我也感觉应该是用户自己买单。毕竟不管怎么说流量都是给你用了。(虽然可能是被别人恶意用的)
    smilepig
        4
    smilepig  
       2018-10-10 17:02:00 +08:00
    上 waf 可以
    liuxu
        5
    liuxu  
       2018-10-10 17:02:55 +08:00   ❤️ 1
    CDN 可以设置访问限制,
    IP 访问限频配置
    通过对单 IP 单节点 QPS 限制,可防御部分 CC 攻击。
    beny2mor
        6
    beny2mor  
       2018-10-10 17:03:19 +08:00
    腾讯云应该是有设置的吧...
    sgq1128
        7
    sgq1128  
       2018-10-10 17:03:33 +08:00
    加时间戳防盗链签名咯,不过这人也真是素质低
    jy02201949
        8
    jy02201949  
       2018-10-10 17:05:47 +08:00
    额,跟运营商的卡一样,用了就认呗
    MiniGhost
        9
    MiniGhost  
       2018-10-10 17:06:46 +08:00
    还好吧,30G 流量也就十几块钱吧。 也当是花钱买个经验了,在后台 CDN 里面限制一下单 IP 量就好了
    iConnect
        10
    iConnect  
       2018-10-10 17:07:00 +08:00 via Android
    排除腾讯云攻守自盗的恶意,没有防护措施的服务器,真是人见人爱的小白兔
    898601566
        11
    898601566  
       2018-10-10 17:07:04 +08:00
    是流量付费吗?
    o0
        12
    o0  
       2018-10-10 17:16:07 +08:00 via iPhone
    一场广告帖导致的惨案,好在 lz 的海景房还在,哈哈。
    今天下午又捣腾了一下 cos 和 cdn,感觉腾讯云给出的相关配置项越来越完善了,所以 lz 可以搞一下。
    jadec0der
        13
    jadec0der  
       2018-10-10 17:29:45 +08:00
    就算是恶意流量,腾讯也要给 ISP 交钱的啊
    realpg
        14
    realpg  
       2018-10-10 17:37:46 +08:00
    让你买单就对了啊
    tshwangq
        15
    tshwangq  
       2018-10-10 17:42:41 +08:00
    多沟通沟通。 这种情况免单或者部分免单是可以的
    98jiang
        16
    98jiang  
       2018-10-10 17:52:37 +08:00
    搞不懂为什么要这样做,他能得到什么好处么
    wenzhoou
        17
    wenzhoou  
       2018-10-10 18:24:10 +08:00 via Android
    万一人家就是 tx 云的人呢。
    CEBBCAT
        18
    CEBBCAT  
       2018-10-10 18:30:17 +08:00 via Android
    腾讯没错
    mclxly
        19
    mclxly  
    OP
       2018-10-10 19:01:01 +08:00
    @liuxu @MiniGhost IP 已加

    @sgq1128 确实低

    @iConnect 除了浪费资源实在看不出有什么好欺负的

    @898601566 是的

    @o0 小站本不打算搞,看来得加强安全了

    感谢大家~
    nazznazz
        20
    nazznazz  
       2018-10-10 19:07:35 +08:00
    楼主好,我是那个帖子的主人。。
    今天网站被攻击了。。现在服务商那边关闭了网站
    对你的损失真的感到抱歉,都怪我网站还没有完善就发出来分享,真的非常抱歉
    可以加我 qq 聊 505754021
    mclxly
        21
    mclxly  
    OP
       2018-10-10 19:12:05 +08:00
    @nazznazz 明天加你
    nosay
        22
    nosay  
       2018-10-10 19:49:59 +08:00 via iPhone
    素质真心低,损人还不利己。
    DZBM
        23
    DZBM  
       2018-10-10 20:09:37 +08:00
    让服务商过滤给你“恶意”流量,你这要求也太苛刻了,问题在于你让他如何判断正常流量与恶意流量。而且你原本可以进行安全配置来规避的(比如 IP 黑白名单、IP 访问限频等)。安全限制没有设置,你消耗了你买单,没毛病。
    580a388da131
        24
    580a388da131  
       2018-10-10 20:30:08 +08:00
    你如果加了一些主机群就知道了,蛋疼的人多的是,手上有流量,闲着无聊就找个站打过去了。
    zyxk
        25
    zyxk  
       2018-10-10 22:29:10 +08:00
    我的七牛有 100 多余额,被刷成了负四百多,有啥办法,只好放弃帐号了。
    七牛之前是月结后才停用帐号了。现在不知道了
    LanFomalhaut
        26
    LanFomalhaut  
       2018-10-10 22:37:52 +08:00
    纯 CDN 本来就不提供防护 这种免单全看对方心情 不同意很正常 毕竟服务商得就这部分流量掏钱出去的
    dnsaq
        27
    dnsaq  
       2018-10-11 09:00:54 +08:00 via iPhone
    按带宽峰值算可能没这种问题一般都走公式计算来的会算平均值的吧
    mclxly
        28
    mclxly  
    OP
       2018-10-11 09:34:33 +08:00
    @DZBM IP 黑名单没用,动态 IP。有日志,恶意流量很容易判断,怼着一个大图片不停请求。

    @580a388da131 @zyxk 只能自己加强安全了

    @dnsaq 我是按流量,平时流量少
    dorothyREN
        29
    dorothyREN  
       2018-10-11 09:35:26 +08:00
    @mclxly 恶意请求也是你使用了资源啊,打个比方说 : 你网站的注册验证码被人刷了,你要去找短信公司要说法吗?安全防护应该是你要做的,而不是运营方做的。
    wonpain
        30
    wonpain  
       2018-10-11 10:00:54 +08:00 via Android
    我算了一下 CDN 0.21 元 /GB。30 多 G 也就 6,7 块,这也算恶意刷流量?
    eliteYang
        31
    eliteYang  
       2018-10-11 10:05:32 +08:00
    确实应该是你自己处理啊,流量还是给你用了,这种恶意攻击,要么就买大流量,要么就买安全加固
    lengyihan
        32
    lengyihan  
       2018-10-11 10:09:21 +08:00 via Android
    最好是提供多少限制。比如我设置 10g 流量,用完就给我停了服务。
    mclxly
        33
    mclxly  
    OP
       2018-10-11 10:48:19 +08:00
    @dorothyREN 从人性化角度来说,有些安全配置应该默认开启的。

    @wonpain 日志摆在那,还不是恶意,咱三观不同。你的网站快上 CDN,让你尝个鲜..............开个玩笑

    @lengyihan 商人重利轻人性
    mclxly
        34
    mclxly  
    OP
       2018-10-11 10:51:25 +08:00
    捣鼓了一上午,加了"过滤参数配置"、"防盗链配置"和“ IP 访问限频配置”。

    谁知道"IP 黑白名单配置"怎么使用?黑名单肯定没用,对方动态 IP。白名单更扯,用户 IP 谁知道。
    dorothyREN
        35
    dorothyREN  
       2018-10-11 10:53:12 +08:00
    @mclxly 换句话说 你自己做压测,跟别人恶意访问,这两个有什么区别。你让运营商怎么来区分。
    mclxly
        36
    mclxly  
    OP
       2018-10-11 10:55:45 +08:00
    @dorothyREN 我认了。不扯这个了。咱扯怎么防盗刷吧
    ShareDuck
        37
    ShareDuck  
       2018-10-11 10:59:09 +08:00
    换个角度想,这么低成本就让你注意到之前不在意的安全问题,避免之后有更大的损失,这是好事。
    dorothyREN
        38
    dorothyREN  
       2018-10-11 11:02:06 +08:00
    @mclxly 讲道理,只要人家真心想刷,你是防不住的。除非你关站
    solomensec
        39
    solomensec  
       2018-10-11 11:07:52 +08:00 via iPhone
    典型 cc,加个 Waf,请求过快就屏蔽,多线程请求过快就屏蔽,完美解决。
    o0
        40
    o0  
       2018-10-11 11:13:29 +08:00
    控制面板里面的 qps 还是什么有一个系统推荐的值(貌似是根据 30 天内平均值)而定,相当人性化了,在不需要人工参考任何数值的情况下,直接点开启按钮就可以默认设置为系统推荐值,也可以自己设置具体点的值。
    要是给每个用户默认上一个假设流量比较低的限制,只怕会有更多用户莫名其妙无法访问以为平台出故障了,真要做到极致是不是得上个智能感应异常流量的功能?
    IP 黑 /白名单,一般应该是黑名单用得多吧,在流量出现异常后查看日志,将恶意 IP 或者某段全部加入黑名单,虽然看起来效率很低,但很管用的。
    始终认为不要无脑上 CDN,动态网站加一层不是“云减速”吗,而且人家一打就打到 CDN 上面,既消耗流量又加重源站负担。
    关于服务商道德问题,一般国内大厂(阿里、腾讯等等)多少都提供了比较完善的功能配置,lz 很幸运,要是某些小厂的话,根本不给你提供上面说的那些安全配置项,欠费多到你只能跑路(弃用帐号)。
    mclxly
        41
    mclxly  
    OP
       2018-10-11 11:33:43 +08:00
    @dorothyREN 确实防不住

    此人又开始了刷了,吃了饭下午再战。


    。。。
    123.207.23.62 - - [11/Oct/2018:11:02:38 +0800] "GET /upload/2018/01/26/Ew1rjn5PVZMvqQ8hxz78V3Z3MmAPVs5Pb8XHUmgP.jpeg13 HTTP/1.1" 301 178 "-" "tencent-httputils/1.1"
    139.199.153.105 - - [11/Oct/2018:11:02:38 +0800] "GET /upload/2018/01/26/Ew1rjn5PVZMvqQ8hxz78V3Z3MmAPVs5Pb8XHUmgP.jpeg32 HTTP/1.1" 301 178 "-" "tencent-httputils/1.1"
    。。。

    tencent-httputils 什么鬼?
    SakuraKuma
        42
    SakuraKuma  
       2018-10-11 11:36:39 +08:00
    防不住的,什么都能伪造,代理池走一波。
    所以小站还是固定带宽的小机子吧,别上什么流量计费的了。
    LanAiFaZuo
        43
    LanAiFaZuo  
       2018-10-11 11:49:29 +08:00
    @mclxly 你可以把 ip 提供给网站大佬,让他封网站 id
    LokiSharp
        44
    LokiSharp  
       2018-10-11 12:24:14 +08:00
    防不住的,再大的站只要公开就防不了爬虫
    wonpain
        45
    wonpain  
       2018-10-11 12:49:12 +08:00
    @mclxly 无意冒犯,我意思是服务商如果连 6 块钱的流量不放行,它靠什么挣钱。
    另外腾讯云有宽带封顶配置,
    ![]( )
    mclxly
        46
    mclxly  
    OP
       2018-10-11 12:49:41 +08:00
    @o0 IP 基本上用不了,动态的
    mclxly
        47
    mclxly  
    OP
       2018-10-11 12:53:37 +08:00
    @wonpain 我设置的是 50Mbps,感觉没啥用,半个钟头给我刷了 8GB。估计对方 IP 池攻击
    yunlongzzj
        48
    yunlongzzj  
       2018-10-11 14:40:47 +08:00
    昨天就看到那个帖子了,一直想观摩一下,结果一直打不开,太惨了.
    bzzhou
        49
    bzzhou  
       2018-10-11 14:45:39 +08:00
    为啥要腾讯买单?腾讯咋知道是不是你用这个接口来同步数据呢
    mclxly
        50
    mclxly  
    OP
       2018-10-11 15:18:17 +08:00
    @yunlongzzj 你搞错了,我不是那个帖子的楼主。

    @bzzhou 哥们,不要纠结这个了,我都说认了。
    xuhaoyangx
        51
    xuhaoyangx  
       2018-10-11 15:23:42 +08:00
    小站 都挂 cf 的路过
    90928yao
        52
    90928yao  
       2018-10-11 15:45:56 +08:00
    针对 ip 限流,针对访问限流。redis 弄下蛮方便的,request 进来的时候判断,单个 ip 太多 ban,每秒请求过多 ban 掉所有请求
    nosay
        53
    nosay  
       2018-10-11 16:04:40 +08:00
    一开始从单一的 ip 进化成代理池了啊...
    看来真的拿楼主网站练手来了,好惨.
    不过从 41 楼的日志来看,有点像是腾讯云的压测服务,ip 也是腾讯的,感觉楼主可以向官方反馈一下.
    同情楼主,这种情况好像真没什么好办法...
    woyao
        54
    woyao  
       2018-10-11 16:17:27 +08:00
    @mclxly 那二个 IP 都是 IDC 的机器。
    "service_provider": "Shenzhen Tencent Computer Systems Company Limited",
    "user_type": "境内 IDC"
    mclxly
        55
    mclxly  
    OP
       2018-10-12 08:22:05 +08:00
    @90928yao 上了 CDN 流量不走服务器咋判断

    @nosay 昨天怼了 15G,还没找到啥好办法

    @woyao 查了日志,国外的 IP 也有,国内也有,没啥明显规律
    abccccabc
        56
    abccccabc  
       2018-10-12 10:56:06 +08:00
    楼主,封 IP 呗,因为走的是你 CDN 的流量,估计它是单独抓你图片或者体积较大的文件。看 CDN 后台能不能控制频率或自动封 IP。
    abccccabc
        57
    abccccabc  
       2018-10-12 11:02:21 +08:00
    楼主,要不把图片弄到我的 VPS 上,帮你顶个一两天。目前我的 VPS 一直空着,做个站,一天连个 IP 都没有。流量空着也是空着。

    话说,做正规站的,谁和我一租这个 VPS 呀,帮我省点钱。只要你的网站流量一个月不超过 1T 就行,基本上每天上万的 IP 了。
    mclxly
        58
    mclxly  
    OP
       2018-10-12 13:03:38 +08:00
    @abccccabc 看起来对方用了 IP 池类技术。感谢好意,下架了 CDN 对方也消停了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4717 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 09:53 · PVG 17:53 · LAX 01:53 · JFK 04:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.