共计 444 个字符,预计需要花费 2 分钟才能阅读完成。
昨晚偶然查看了公司的阿里云 CDN 监控,发现被偷偷刷量了。
攻击方式是每晚 20-23 点,会用几千个 IP 请求一个 100M 左右的 exe 文件,和一个十几 k 的静态文件,以非常稳定的带宽占用刷掉 100-700G 的流量,然后安静的结束。从 4 月中旬攻击到昨天晚上。然后我们换掉了文件名,CDN 返回 404,攻击仍然持续到 23 点准时结束。我们是买流量包用的,一次会买大半年的用量,所以之前没有发现。
有几点非常奇怪,想请教一下各位:
1. 我们正常的每天用量大约是 30-50G,每个月 1T 出头。费用是 126 元 /T。黑客用一个半月的时间,大约刷掉了 8T,大概是一千块。这个费用对公司不痛不痒,目的是什么?(希望黑客不要看到这条后给我加个零)
2. 攻击 IP 非常诡异,除了全世界各地 & 全国各地的 IP 地址以外,还有一些 6. 开头和 0. 开头的 IP,我查询之后发现分别是美国 DoD 和 IANA 的保留地址,前者还勉强可以说通,责任全在米方,保留地址是啥情况?这些 IP 地址来自阿里云后台下载的 CDN 访问记录。
提醒大家为 CDN 服务加上监控。
正文完
