6 日早晨开始遭受 CC 攻击,早上一睁眼发现手机上受到警报信息
大量 IP 针对网站 static 文件夹下的静态文件发起请求,消耗大量流量,短时间内被刷掉几百 G
后台查看 HTTP 服务器的 log 发现是很大数量不同 IP 请求,全世界哪儿的 IP 都有,请求的都是同一个文件,初步看没法封 IP ,就把静态文件给改了个名,这样至少流量就不会掉很快
结果发现,改了文件名返回 404 之后,请求频率就更高了
于是,赶紧开了 WAF,设置对该静态文件的全部请求进行拦截,立杆见影。
同时也发现了两个事实:
1.请求频率差不多是每分钟 3000+
2.其实只有 1 个 IP 来源,通过 http 头伪造了 IP 。(才想起来,之前看的都是 HTTP log,要是仔细查一下 req 细节,其实就早就明白了)
然后,封 IP 。
由于查到该 IP 是南方某市的,直接打了当地 110 号,但是回复说应就近报警,由我这边 GA 来调查,他们配合
想来也麻烦,目前反馈给阿里家,客服主动开了提交网警的工单,等后续。
