最近几天我的 CDN 流量受到来自电信 [山东烟台] 、 [江苏扬州] 两地家庭宽带的攻击，发生了什么？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 49 天前的主题，其中的信息可能已经有所发展或是发生改变。

V 友们，我是一个小独立站，最近几天我的 CDN 流量受到来自电信 [山东烟台] 、 [江苏扬州] 两地家庭宽带的攻击，发生了什么？

都是中国电信的家庭宽带，几乎都来自：

山东省烟台市莱山区
山东省烟台市芝罘区
江苏省扬州市邗江区

大量的 IP 地址都不一样，他们会高并发的疯狂请求我的一个 CDN 上的一个图片，甚至不等数据返回，他们就主动关闭连接了，除了大量 200 状态，还有大量 499 的状态。

我比较奇怪的是，他们请求的是同一个图片，大小也只有 29.8KB ，并不大，要刷流量的话有很多其他大图啊

大量 IP 全都请求同一个图片，如果要 CC 或 DDoS 我的话，应该去打主站，他们去打我 CDN 不太可能吧？

另外，这些攻击请求不回受到 DNS 的调度，我把境内流量调度到 CF ，没有用，他们依然在刷阿里云的 CDN 节点

最近发生了什么啊？我只能一个一个的封 IP 段

Top 10 访问 IP:

140.75.192.40
123.169.47.111
218.91.77.92
123.169.44.164
182.34.110.7
140.75.193.170
218.91.18.86
182.34.108.33
121.233.227.17
180.119.194.223

CDN

攻击

33 条回复 • 2025-06-19 21:34:19 +08:00

changepll

49 天前

我们之前也碰到了. 浪费了几千块钱.
之前网上有说到, 他们宽带做一些上传业务. 只上传没有下载会被运营商给查到. 所以要刷下载的量

changepll

49 天前

而且阿里云就是纯傻 X. 很多 IP 明显就是伪造的. 大量的 0.0.xxx.xxx 他也给下载. 对方的程序就是 0.0.0.0 - 255.255.255.255 这样随机生成的.
用户输,多方赢的局面

liuzimin

49 天前

我操怎么这些狗东西还在刷啊。。。去年就刷了我们公司的 CDN 流量。

liuzimin

49 天前

@changepll #1 听说这个说法辟谣了，说运营商现在其实并不看上传下载比例，而是只看上传量来制裁。。。

unclemcz

49 天前 via Android

https://github.com/unclemcz/ban-pcdn-ip/blob/main/ipdb.txt

把这个文件里的 ip 段都加黑名单，应该就清净了。

changepll

49 天前

辟谣不代表他们会不刷啊. 基本上就是楼上说的 PCDN 这些狗东西在搞

renfei

49 天前

@unclemcz #5 感谢，随机抽查了一个，确实都在这个名单里

allin1

49 天前

@liuzimin 辟谣有啥用，有人信这个就足够了。
至少说明现在依然还有人信
https://www.right.com.cn/forum/thread-8351068-1-1.html
看楼下跟帖

biiovomail

49 天前

@liuzimin 攻击了多久啊

biiovomail

49 天前

https://ex.noerr.eu.org/t/1138139 跟帖
@renfei

liuzimin

49 天前

@biiovomail #9 攻击了近半个月吧，但不是持续的，是每天晚上七八点左右开始，一直持续到晚上 11 点多。一次刷几个 TB 的流量，像个傻逼疯狗一样。。后来给 CDN 上了 WAF 才挡下来。

xhcnb

49 天前

一样的, 我们也遇到了, 江苏扬州的 IP, CDN 上设置上访问频率限制, 直接给封了

biiovomail

49 天前

@liuzimin 我上了腾讯云 eo 不知道效果怎么样我也诶打了

xhcnb

49 天前

而且封了, 也不停, 继续请求, 可能写脚本的人请求了很多很多地址

kevinhwang

49 天前

我了解到就江苏 pcdn 最疯狂，原来山东也这样。看来还是宽带费用太低了，涨价吧

xyz3210

49 天前

可以把那个图片替换成政府网站的一个图片地址吗？

NewMoorj

49 天前 via Android

这不就是干 pcdn 那帮人吗？

pcdn 会产生大量上传，却没有下载，只能用技术手段去刷大量下载咯。

以此伪装成正常用户。

正好还能再接个刷下载的小单。

但是你信不信，搞 pcdn 的人被封了宽带还要来 v 站说呢，说被打击了。

NewMoorj

49 天前 via Android

互联网是建立在硬件设施之上的，无论再有分享和免费精神，硬件设施的钱总是要有人付的。

互联网又分内容提供者和内容消费者，内容提供者就是腾讯优酷爱奇艺微博抖音这种企业，他们付大头费用，所以商用宽带很贵。

内容消费者付小头费用，所以家用宽带相对便宜很多。

pcdn 就是伪装成内容消费者，干内容提供者的事，赚取差价。

伪装的过程中需要大量刷下载，就会有一堆小站被刷流量，同时小站是内容提供者，还要支付昂贵的流量费用。

见到 pcdn 人人喊打就对了。

Essaim

49 天前

@liuzimin #4 并非辟谣, 而是运营商扩大了攻击范围, 之前确实是按上传下载比例判断 pcdn 的.

duanxianze

49 天前

再一次的提倡家用宽带和云服务商一样按流量计费

xiamy1314

49 天前

PCDN 不就是一群绝户的玩意？

xiamy1314

49 天前

@allin1 现在一刀切了

OhYee

49 天前

我也被刷流量了，按照上面的列表加了个黑名单，再观察几天

比较好奇为什么都是山东、江苏呢，别的地方没有 pcdn 么

victimsss

49 天前

怎么都是江苏的之前也是被江苏的刷爆了 cdn 没限速第一次发现 cdn 这么昂贵😭

PerFectTime

49 天前

山西的也有，小心咯

xhcnb

49 天前

CDN 要设置一下用量限制, 比如每小时 xxGB, 每秒请求 20 次或直接设置鉴权, 都是血的教训

enihcam

49 天前 via Android

https://ex.noerr.eu.org/t/1138045 是不是这个？

LnTrx

49 天前

@changepll 应该是攻击者伪造了 xforwordfor 头，造成阿里统计默认用的 client_ip 出错。但其实改用 remote_ip 就行了。

LnTrx

49 天前

对于怕被刷爆账单的开发者，各种按量付费服务、特别是 CDN 这种直面用户的服务，都要设用量限制以及 [监控告警] 。平时再冷门也要设。

jimmykmi

47 天前

我也遇到过，5 月 28 日，一模一样，打了 800G 流量，封了还在继续请求...直到现在

jimmykmi

47 天前

@LnTrx 提了工单问过了，解释是合作机房的流量走了内网，所以统计是 10.xx.xx.xx 的 ip ，但是有省市和运营商信息...

jimmykmi

47 天前

而且不只是 IPv4 ，还有 IPv6 。在一个/64 段内换着 ip 打，还不止一个/64 段...

Lazymio

42 天前

我被连续攻击大概三天了，这是我第三次被 PCDN 攻击，但是这次有几个完全不一样的特点：

- 他们攻击的时候因为触发了 CDN 的限速，返回大小只有 500B ，即便这样他们也会靠着请求数量刷爆
- 更换 IP 非常迅速，封了一个/12 马上换其他的/12 ，封完 v4 换 v6

@unclemcz 这个 repo 我在第二次被攻击就添加了，但是这次完全没有用，每次封一个新的 /16 /12 他们一两小时内就会换新 ip 过来。目前我已经把江苏全部 v4 封掉了，但是山东的 ip 仍然在攻击。