10月下旬CDN遭遇盗刷攻击事件复盘报告

概述

今日（10月29日）观察CDN流量暂无异常情况，接下来我仍将密切关注各子域名和站点流量情况，特别是博客主站和CDN业务域名，确保出现意外情形时，及时响应。

目前CDN相关防护措施均已到位，进一步防护会在下一阶段加以改进，包括拦截境外流量、设置流量上限等措施均已实现，下一步会加强访问控制、资源鉴权等操作。在确保安全的同时，还将逐步优化限制，要逐步放开Cloudflare、Google等站点的资源访问需求。

连续几天观察，及时的防护和迁移等果断措施非常有效，未对我站资源可访问性造成太大影响，停止服务造成的资源失效得到了及时解决。

攻击特征

观测到攻击方在10月23日、25日、27日上午对我站CDN域名造成了有规律性的、针对性的盗刷流量攻击。分析日志，我们可以对攻击方及其攻击手段画像如下：

1. 其主要攻击设备或代理均位于境外，主要是美国、还包括香港、日本和德国等地，但IP数量并不算多，几十个到数百个不等，造成大流量盗刷的IP通常仅为1个，其它IP均有探针性质；
2. 攻击方伪造了本博客站点的Referer对包括我站CDN在内的多个目标进行了恶意攻击，且使用了虚假的随机UA，导致部分CDN防御方案无法生效；
3. 攻击方采用了专业的攻击手段，优先扫描大文件进行盗刷，失效后选择其他文件进行持续攻击；
4. 其攻击日期为周期性2日间隔，时间均在上午，时长从开始到当日停止服务为止（这里要提到七牛云的报警延迟极高，非常不可靠）；

下面对三日遭受的攻击特征进行详细描述（日志数据受前后访问影响存在部分误差，不影响数据特征）。

2024年10月23日

• 时间：8:55-9:35(±5min)
• 总流量：783.1779 GB
• 峰值带宽：3404.8314 Mbps
• 访问总次数：45.827万次
• 攻击期间IP总数：约119个

2024年10月25日

• 时间：8:25-9:25(±5min)
• 总流量：1833.1192 GB
• 峰值带宽：7704.5191 Mbps
• 访问总次数：258.408万次
• 攻击期间IP总数：约200个

2024年10月27日
（25日遭到攻击后，服务从七牛云迁移，并配置上线）

• 时间：4:55-5:15(±5min)
• 总流量：29.13 GB
• 峰值带宽：347.79 Mbps
• 访问总次数：176.03 万次
• 攻击期间IP总数：约111个

造成较大访问流量的IP列表（区域数据采信自ip.cn）：

过程复盘

其实对于大型网络服务来说，这点流量并不够看，但是对于我们这样年流量都不知道才几个GB的小博主或个人服务维护者来说，算是巨大的损失了。并且对于普通博主，并没有太多负载均衡或拦截规则等手段，最多的就是停止服务。

我对首日遭遇攻击完全不知情，而七牛云的通知短信9:35才发，距离攻击开始已经过去了半个小时，距离流量峰值也过去了20分钟以上。这导致首日损失即非常重大。在遭受攻击后，我迅速处理域名并设置了相应屏蔽规则，当时的判断是：这应当是一次大范围攻击，我应当只是被脚本攻击的一部分，设置屏蔽规则并把相关IP放入黑名单即可。

但10月25日的攻击就打破了我的猜想，攻击方并非随机目标，而是针对性的攻击！攻击发生后，七牛云的告警同样姗姗来迟，删除域名后的响应时间也超过了五分钟，导致本次攻击流量流量接近2 TB，且造成了CDN图片服务停止运行。很显然，对方不仅是针对性的，且攻击烈度还在加强，七牛云的访问控制无法满足我们对防守的需求，于是我采取果断措施，迁移服务。迁移服务的过程消耗了小上午，完成了文件迁移、服务配置等工作，恢复了相关资源的访问。

10月27日，攻击再次发生，我看到攻击信息的时候是六点过些，刚起床就看到了CDN域名触发了流量上限。这再次验证了我的猜想，对方还在攻击，并且呈现出了周期性，但由于新云服务商的上限设置，没有造成更大损失。查询日志后发现其手段和前两天的攻击如出一辙，IP也同样以境外为主，随后我便禁止了该CDN域名的境外访问。

10月29日，未监测到异常流量，判断本轮防护措施已生效，持续观察敌方动向。

进一步措施

目前已经计划博客服务的完全优化和调整，调整内容包括博客框架、CDN服务、评论方案、图床和流量监控五大部分。

主要目的是提升博客页面访问速度和网站服务安全性，并进一步探索更多组合的可能。

方案正在陆续实施，预计博客改造完毕后会发布相应报告，秋招接近尾声，学习任务轻松些后会迅速解决相关问题。