Yoo趣儿

Yoo趣儿 Geek 站长 腾讯云轻应用服务器上遇到这种攻击属于重放攻击吗?可以 ...

腾讯云轻应用服务器上遇到这种攻击属于重放攻击吗?可以怎样堵住攻击?

查看 18|回复 0
作者:laqow   
一直拿腾讯云轻应用服务器当 frp 用,最近想着分享一些文件给别人,开了个 nginx 服务器上传了一些静态文件让人临时下载一下。开 accesslog 看了一下,发现有时会有些来自腾讯云自己服务器在访问这些文件。一般正常人都是一批文件一起下载的,accesslog 里面看到是连续相同的 IP 在访问,但来自腾讯云的访问是单独的且一个 IP 只访问一个文件,不带重复的。我的文件名都是 20 位随机字符,而且没开目录 index ,感觉一次命中路径基本不可能。我的 frp 等对外服务都是开在各自 docker 里面,不太像 host 被挂马,挂马感觉也完全不需要再走 nginx 访问一遍下载。
想了一下会不会有可能是请求被子网内其他主机监听然后重放?症状是下面这样的:
A 型攻击的日志
114.132.203.161 - - [05/Jun/2023:11:46:32 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 5601404 "http://xxx/download/play.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36" "-"
106.55.201.95 - - [05/Jun/2023:11:46:38 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 6505301 "-" "-" "-"
它先拿 114.132.203.161 这个重放了 play.html 的请求,没把文件下载完,然后换了个 IP 重新下载了文件。它这个 UA 看着像哪个 headless browser 的。
B 型攻击的日志
我的 IP - - [05/Jun/2023:18:35:58 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"
220.196.160.96 - - [05/Jun/2023:18:46:02 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"
我开始以为是爬虫爬的,设了 referer 和 UA 的过滤,然后想着拿 curl 试一下,结果隔了几分钟有另外一个 IP 照着我的请求来了一次。
所以这种是腾讯云的问题吗?还有什么办法发现攻击源以及防止攻击?
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2025-1-30 23:38 , Processed in 0.007722 second(s), 4 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.

返回顶部