关于近期本站首次遇到恶意盗刷CDN流量的处理记录
本文最后更新于2025年11月03日;如遇到问题,请及时留言告知。
最近遇到建站十多年来首次 CDN 流量盗刷事件,面对流量盗刷我并没有直接妥协,因为这并不是加一下黑名单就能完全解决的问题,通过与基础通信运营商直接交涉,在三天内解决了流量盗刷问题,本篇记录了整个处理过程的大致经过,给大家在遇到类似事件时提供一些解决思路。
一、事件经过
【首次发现】 时间点:2025年4月9日 周三 凌晨 02:35:接连收到 CDN 服务商的流量监控短信与邮件报警。由于是首次遇到类似警告,立刻登录 CDN 管理后台进行排查。
【开始排查】 时间点:2025年4月9日 周三 凌晨 02:47:在后台发现,从凌晨 01:25 起,站点请求量和流量急剧上升,在 02:40 之前已产生近 10 GB 的流量,因此立即关闭了部分 CDN 服务,并准备在下个日志周期下载详细请求日志进行分析。同时,增强了 IP 访问控制与 CC 防护策略。
盗刷事件前后请求数以及流量变化:
【初步处理】时间点:2025年4月9日 周三 凌晨 04:23:分析日志后,确认流量盗刷源为一个公开下载链接(压缩文件),该链接被大量恶意 IP 重复访问下载。然后立即删除该资源文件,并将相关 IP 列入黑名单后重新开启 CDN 服务。
【持续监测】时间点:2025年4月9日 周三 白天:经过持续观察,CDN 流量恢复正常,盗刷的请求都返回了403错误,但是请求数量持续飙升,由于 CDN 服务的流量和请求数都是计费的,因此还是得解决持续的大量请求的问题。
请求数最高峰一小时内的数据统计:
通常 CDN 服务的计费分为流量费用、HTTPS 请求费用、动态请求数费用等。
被盗刷域名近期流量统计数据表:
| 日期 | 流量 | 请求量 | 静态请求量 | 动态请求量 | HTTPS请求量 |
|---|---|---|---|---|---|
| 2025-04-08 | 169.826 MB | 20144 | 10307 | 9837 | 19903 |
| 2025-04-09 | 11.009 GB | 197281 | 188265 | 9016 | 118757 |
| 2025-04-10 | 252.145 MB | 164923 | 156420 | 8503 | 164702 |
| 2025-04-11 | 227.853 MB | 124883 | 115587 | 9296 | 124583 |
| 2025-04-12 | 187.693 MB | 16651 | 7620 | 9031 | 16300 |
二、情况分析
通过对 CDN 日志的深入分析,发现所有恶意请求均来自中国联通山东济南地区,涉及上千个不同 IP,基本集中在四个主要网段。所以将这几个网段都加入了 CDN 的屏蔽名单,但这并不能解决请求数过高的问题,除非关闭该域名的 CDN 加速服务,这虽然可行,但我并不想就此妥协。
主要涉及的IP段:
119.188.173.0/24
119.188.230.0/24
119.188.237.0/24
61.179.15.0/24
由于本站只是一个普通站点,盗刷 IP 均来自同一个地区的同一运行商,且经过查询这些 IP 似乎并不属于普通家庭宽带,这么多国内的公网 IPv4 地址在进行流量盗刷活动这显然是有问题的。
【或与PCDN业务相关】:通过网上搜索了解类似情况,这些恶意盗刷流量的可能与一些 PCDN 业务有关,通过故意消耗下行流量来平衡自己的上行数据量,规避运营商的监管规则。
【没有选择报警】:请求虽然还在持续,但由于我及时阻断了流量因此损失并不大,再加上只是一个个人小站点,直接报警可能都无法立案,因此没有直接采取报警的措施。
【运营商必须履行监管责任】:由于盗刷流量的是国内 IP,又不是家庭宽带的 IP,且都属于山东济南联通,并且无论是否被用来作为 PCDN,拿公网 IPv4 地址在做违法的事,这些 IP 的实际拥有者如果是知情的那一定也是在做违法违规的事,如果实际拥有者不知情,那么实际拥有者也是受害者,近千个 IP 被操控,济南联通作为这些 IP 的管理方必然负有管理责任。
可能情况:
1.IP 实际拥有者不知情,IP 地址被他人滥用
由于查询到这些 IP 属于园区企业等有关单位使用,存在被一些企业或园区的 IT 运维人员私自搭建 PCDN 设备非法牟利的可能,那么这些 IP 的实际拥有者作为联通的客户,客户资源被非法侵占,联通有义务向客户告知这一情况。
2.IP 实际拥有者知情,就是在干灰黑产业务
一家能拥有至少一千个以上公网 IPv4 地址的企业,一定不是普通的公司,其业务必定和互联网服务有关,如果该公司提供的是正常的互联网服务,那么其一定拥有相关的增值电信业务许可证,如果有证他们理应不需要通过盗刷流量来掩饰什么,因此该公司一定在从事违法或违规业务,联通同样有义务做好监管工作。
因此我决定先尝试联系山东济南联通来解决这个持续盗刷流量的问题,至少不要再刷我这个站了。
三、应对措施
【拨打客服电话】时间点:2025年4月10日 周四 15:15:拨打中国联通客户服务热线 10010 ,并转接到山东联通反应情况。 这里需要表扬一下山东联通的客服,客服虽然不懂我反应的具体情况但仍然认真记录并积极处理。
【发送正式投诉邮件】时间点:2025年4月10日 周四 16:18:查询到这些 IP 段的拥有方联通方面关于 IP 滥用情况的投诉邮箱,并发送了一份正式的投诉邮件。
【接到负责人1回电】时间点:2025年4月10日 周四 17:29:接到山东联通有关负责人回电向我了解具体情况。本人也从电话交流中得知一些信息,这些大量盗刷流量的 IP 来自济南联通的同一个客户,且济南联通内部人员大概率对他们客户在干什么是知情的,但也告知我,如果没有上级指令,他们也只能做到提醒客户且无法采取更多限制措施,同时本人也向其明确表示,如果山东联通无法处理,本人将继续向联通总部以及工信部进行投诉。
【接到客服回电】时间点:2025年4月10日 周四 18:01:接到中国联通官方客服电话,询问是否有负责人与我联系并推进处理进程。
【CDN 异常流量大幅下降】时间点:2025年4月11日 周五 14:50:CDN 请求数大幅度下降,盗刷链接请求数逐渐趋近于零。
【接到负责人2回电】时间点:2025年4月12日 周六 12:18:接到山东联通另一位有关负责人回电,向我了解流量盗刷的情况是否解决。
【接到客服回电】时间点:2025年4月12日 周六 15:11:接到中国联通官方客服电话,询问投诉的问题是否已经解决。
从本次 CDN 流量遭遇盗刷的整个过程可以看出,济南联通方面似乎知道他们客户在干什么事,但拥有这么多公网 IPv4 也是他们的大客户,该客户与联通内部人员似乎存在利益关联,以至于在联通今年加大力度管控 PCDN 的情况下,仍然有人凭借内部关系在经营不合规业务,或许也有可能就是他们内部人员所为,当然以上分析只是本人的一些猜测,并无实际证据支持。
尽管尚无明确证据证明运营商内部有人与此存在关联,但从事件的处理说明,面对有组织的灰产行为,个人站长力量非常有限,必须善用一切正规手段维护合法权益。
相关链接
相关阅读
7
微信
支付宝除非特别声明,博文均为原创,转载请注明出处!
版权声明:本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 (CC BY-NC-SA 4.0) 进行许可。