近日,更多CDN用户报告遭遇来自山西联通IP的异常流量请求。除个人用户外,有企业用户报告被刷流量高达 300T。
经本频汇总,攻击主要来自以下 IP段:
下方补充列表由单一信源提供,可能有误伤:
攻击呈现出明显规律,即通常在每晚20:00至23:00进行,部分用户报告19:45左右开始。主要针对体积较大的静态文件,如视频、安装包、大型图片等。单日攻击流量从数十GB到数百GB不等,部分站长报告单个IP(如221.205.169.183)持续定向攻击特定资源。值得注意的是,攻击者似乎不以瘫痪网站为目的,而是稳定持续地消耗流量。
请求特征:
- Referer头设置为请求文件的URL本身
- User-Agent随机或为空
- 即使文件删除或返回404,请求仍持续
V2EX上有站长 发现 ,攻击前153.101.64.39(江苏联通)IP使用"
目前有效的应对措施包括但不限于封禁相关IP段;设置流量阈值和访问频率限制;通过边缘脚本进行请求限速;将静态资源迁移至海外CDN或采用P2P分发等。
CDN服务商多吉云近日发布了关于此事件的详细说明。根据其 说明 ,异常流量早在2024年3月就已开始,影响范围包括阿里、腾讯、七牛等多家CDN服务商的用户。
攻击IP不仅来自山西联通,还包括江苏联通、安徽联通等地。
关于攻击动机,业内人士提出了与近期实施的省间结算政策相关的推测。这一政策要求运营商对跨省数据传输进行费用结算。有观点认为,这些异常流量可能是某些地方运营商为了平衡省间带宽差异或内部账单而进行的操作。另一种可能是PCDN(点对点内容分发网络)从业者为规避运营商对高上传流量的管控,通过刷取下载流量来平衡上传与下载比例。
经本频汇总,攻击主要来自以下 IP段:
221.204.0.0/15和221.205.0.0/15(整体范围)221.205.168.0/23(主要活跃段)211.90.146.0/2460.221.231.0/24122.195.22.0/24下方补充列表由单一信源提供,可能有误伤:
112.229.8.0/2439.71.180.0/24119.188.69.0/24, 119.188.197.0/24, 119.188.60.0/24, 119.188.63.0/2427.221.70.0/24120.132.82.0/2436.155.119.0/24, 36.155.88.0/24112.48.189.0/24140.249.121.0/24119.118.60.0/24, 119.118.88.0/24, 119.118.197.0/24, 119.118.69.0/24, 119.118.63.0/24, 119.118.65.0/24112.159.22.0/24攻击呈现出明显规律,即通常在每晚20:00至23:00进行,部分用户报告19:45左右开始。主要针对体积较大的静态文件,如视频、安装包、大型图片等。单日攻击流量从数十GB到数百GB不等,部分站长报告单个IP(如221.205.169.183)持续定向攻击特定资源。值得注意的是,攻击者似乎不以瘫痪网站为目的,而是稳定持续地消耗流量。
请求特征:
- Referer头设置为请求文件的URL本身
- User-Agent随机或为空
- 即使文件删除或返回404,请求仍持续
V2EX上有站长 发现 ,攻击前153.101.64.39(江苏联通)IP使用"
Java/1.8.0_91" User-Agent爬取网站资源。目前有效的应对措施包括但不限于封禁相关IP段;设置流量阈值和访问频率限制;通过边缘脚本进行请求限速;将静态资源迁移至海外CDN或采用P2P分发等。
CDN服务商多吉云近日发布了关于此事件的详细说明。根据其 说明 ,异常流量早在2024年3月就已开始,影响范围包括阿里、腾讯、七牛等多家CDN服务商的用户。
攻击IP不仅来自山西联通,还包括江苏联通、安徽联通等地。
关于攻击动机,业内人士提出了与近期实施的省间结算政策相关的推测。这一政策要求运营商对跨省数据传输进行费用结算。有观点认为,这些异常流量可能是某些地方运营商为了平衡省间带宽差异或内部账单而进行的操作。另一种可能是PCDN(点对点内容分发网络)从业者为规避运营商对高上传流量的管控,通过刷取下载流量来平衡上传与下载比例。
