中国境内每天晚上固定时间,受到来自山西联通、江苏联通、安徽联通等地的IP恶意流量攻击。攻击时间为每天19:50开始,23:00结束,攻击者选择大型静态文件进行请求,消耗受害网站的CDN流量。攻击可能与高上传家宽用户为躲避运营商封杀,刷下载流量有关。防范措施包括开启CDN域名配置的IP访问频率限制、流量封顶限制等功能,并将恶意IP网段添加到黑名单中。在实践中,损失非常小,但可能会影响极少数正常用户访问,需要谨慎评估。
摘要由智能技术生成
中国境内有大量各类网站,在每天晚上固定时间,受到 IP 来自山西联通、江苏联通、安徽联通等地的固定网段的恶意流量攻击。这类流量攻击时间规律,每天 19:50 左右开始,23:00 准时结束。攻击者会挑选体积较大的静态文件,例如视频、安装包、体积较大的图片或脚本等,在攻击期间,不断请求这个文件,消耗受害网站的 CDN 流量。推测此类攻击可能与运营商省间结算政策施行后,某些地区的高上传家宽用户(例如 PCDN 等)为了躲避运营商封杀,降低"上传/下载"比例,人为刷下载流量的行为有关。
防范如开启 CDN 域名配置中的 IP 访问频率限制、流量封顶限制等功能,实践表明,开启这些配置并合理设置封顶阈值的域名,在本次攻击中损失都非常小。
添加下列 IPv4 网段至 IP 黑白名单配置 功能的黑名单中,防患于未然(这可能会影响极少数正常用户访问,请谨慎评估)其中加粗为近几天仍在活跃的恶意 IP 网段。