我的网站第一次被攻击了
作者:小林coding
八股文网站:xiaolincoding.com
大家好,我是小林。
我是没想到自己那个小破站也有被攻击的一天,感觉自己出息了,能被人盯上了。
但是这个攻击不是导致网站卡顿,而是 CDN 流量被盗刷了。
正是因为这种攻击毫无征兆,等我发现的时候,人家已经攻击我好几天了。
我是在收到 CDN 流量耗尽的短信通知,我才发觉不对劲,因为我买的 CDN 流量是足够我网站撑好几个月的,结果没几天就没了。
结果一看流量,好家伙,这流量猛的一批,是我平时的好几百倍,还持续了好几天,最高峰的时候,一个小时的时间就刷了我 27 GB 的 CDN 流量。
然后我查看了下每小时的请求数,一个小时有 20 多万的请求。。。
我的 CDN 是做什么的?
我的 CDN 不是对网站网页加速,而是我的图床方案是 OSS + CDN,因为 OSS 的流量太贵了,而 CDN 流量相比起来会比较便宜,所以加了个 CDN。
而此次的攻击,就是有人故意疯狂请求我的图片资源,活活地消耗我的 CDN 流量。
CDN 流量盗刷会损失什么?
当然是损失金钱。
CDN 流量是需要我们自己掏钱买的,我在 5 月份的时候,买了 1TB 的 CDN 流量资源包,上个星期我还特地看了下剩余的流量,还剩下 500 多 GB,结果 2 天的时间就被人盗刷完了。
下图是每一行是一个小时的计量。
除了 CDN 流量之外,CDN HTTPS 请求也是够卖资源包的,我买的是 1 千万次的 CDN HTTPS 请求资源包,结果也是 2 天被刷完了。
所以,他刷的不是流量,而是我的钱包。
虽然就损失了几百块,但还是肉疼,毕竟我网站暂时也没有盈利,所有人都是可以免费看的,纯靠爱发电。
攻击我有什么好处?
这个问题我也没想明白。
我也没得罪谁吧,就我这样简单的网站,都有人使坏,实在想不明白。
后面怎么解决了?
等我发现流量不对劲后,我就打开了防盗链的功能,效果很显著, CDN 流量瞬间就降下来了。
之所以之前没有设置防盗链,是因为我的图片链接还会在本地电脑预览,如果开启了防盗链,自己写文章的时候,就没办法在电脑里查看图片了,所以贪方便,就没设置了。
不过,问题还没有完全解决。
虽然设置了防盗链,让对方获取不到资源,但是他还是一直在向我的 CDN,疯狂发起请求,而每一次请求,还是会消耗一次 CDN HTTPS 请求资源包。
后面我开通了 CDN WAF,拉黑了对方 IP ,CDN HTTPS 请求数依然是每小时 35 万,并没有什么效果。
按照这个请求数,他一天能打我 600 万的请求,只需要不到 1 天半的时间,就能把我的 1 千万次的 CDN HTTPS 资源包给刷没,这哪顶得住。
后来我实在没办法,就咨询了下售后工程师,结果说这个问题无解。。。
不过,他举的例子确实很通俗易懂:他知道你家的地址,我们只能阻止他进去,不能阻止他去敲门。
哈哈哈相当无语了,别人在我家敲门,还得扣我的钱。
可能有的人会说,怎么不开通 DDOS 高防,我也想开啊,但是这玩意一个月好几千,我网站又不是赚钱的项目,还不至于搞这些。
然后我本来想换别的厂商的 CDN 的,因为听朋友说,其他厂商对于 CDN HTTPS 请求是不计费的。
结果攻击我的人,不知道是不是良心发作了,突然没有对我发起攻击了,目前 CDN 流量和请求都已经恢复正常了。
这件事,我还请教了鱼皮,第一次感受了网站被攻击的感觉,能深刻理解他之前老被攻击的感觉了。
最后,祝愿我的网站,能在苟活几年吧。