昨天(29)晚上本来要更新来着,结果😴睡着了,草稿就放在那里,直到30号早上。起来看了一眼手机还在网站页面,刷新了一下直接522,给我整不会了,先上班再说。 vps也无法登陆,让人真是煎熬,我以为是小故障,直到10点依然没有恢复,CC官网也登陆不了,给客服发邮件他们才后知后觉知道,真是太不专业了。 开始以为是堆栈出问题,没想到看网上说是被勒索了,真是服了cloudcone。 只能做做最坏的打算,主站和图床做了备份,其他的站点就没这么乐观,只备份了数据库。能恢复最好,大不了就做这一个站点了…… 2026.01.31更新 我们写信是为了就影响您服务的事件提供明确的更新。 我们使用的平台(Virtu […]
服务器负载异常?出站流量居高不下?本文记录了我如何发现并防御一种伪装巧妙的低频分布式“刷流”攻击。通过分析Nginx日志、识别异常UA和参数,最终使用Nginx 444 状态码成功对抗刷流攻击,将服务器负载从70%降至正常水平。一起来学习这次完整的技术复盘与防御实战。
[toc]
故事的开始非常偶然。昨天早上我本来只是看到一篇博文在介绍现代搜索引擎对robots.txt文件格式的适配,里边提到对于WordPress博客已经不再推荐屏蔽/wp-includes/,我核实了一下确实是这样的,于是计划修改一下博客的 robots.txt 文件,优化一下 SEO 策略。
然而,当我登录面板准备操作时,首页的负载引起了我的警觉。在这个本该平静的时间点,服务器的状态却显得异常亢奋,负载持续在70左右。
我果断先去一眼到底是什么进程在吃我的资源,结果:
这个数据绝对有问题,而且是有大问题!先不说umami里在线访客只有2个人的情况,也不说PHP占用也不低的事情。就算是有大量真实用户访问,PHP 的负载应该会很高(毕竟 WordPress 是动态博客,缓存做的再好也不对劲)。但现在 Nginx 居然比 PHP 还忙,这种诡异的情况,一般意味着:
直觉告诉我: 恶意爬虫或 CC 攻击的可能性最高,于是先从这个方向查。
常规起手,先看 Nginx 的 access.log
# 我这里打的默认路径,如果你想参考,请根据你的实际情况调整
tail -f /var/log/nginx/access.log
这屏幕日志刷的哗哗的,滚动的飞快,1秒怕不是有10条以上了,我还没看清就刷上去了,额,算了,还是统计一下吧,直接看日志超过我的目力限制了。
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 20
粗看一切正常,并没有哪个IP在疯狂请求我的站点。
awk '{print $7}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10
返回结果的前几条是这样的:
129007 /
60547 /?local_ga_js=f78e59fd91e18c7a2940a914030e9743
1620 /feed
246 /tutorial/971
88 /robots.txt
80 /favicon.ico
啊,这……对于我这个日均几百人的博客,8个小时内,首页 / 被访问 12.9 万次,带特定参数的 URL 被访问 6 万次,这显然是有人在疯狂刷我的首页和特定资源。
首页的日志不好分析,毕竟有正常人在,那个奇怪的local_ga_js就好分析多了,让我看看都有谁在请求这个文件
grep "local_ga_js" /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 50
所有 IP 的请求次数都是8次,这也过于稳定了吧!
我追溯了本周的历史日志,他一直维持着一个大概有 400 个 IP 的 IP 池,用这些 IP 轮询,每个 IP 使用了 7~8 次后就弃用,重新拨号获取新的 IP 。既然这是正常的家宽 IP 而且攻击者释放 IP 的速度也很快,直接屏蔽整个广东电信的 IP 或者封禁 IP 一段时间就显得不合适且毫无意义了。
先干死请求local_ga_js=XXXXX的,攻击特征这么统一不干你干谁,首页的问题先放到一边。
先改一下站点的 nginx 配置
# 放在 location / 之前
if ($query_string ~* "local_ga_js=") {
return 444;
}
这里使用 Nginx 特有的 444 状态码。相比返回 403,444 会直接关闭连接且不返回任何数据包,能最大限度节省出站流量以及服务器性能。(Nginx官方关于444状态码的介绍)
前边的规则配置后效果立竿见影, 几个查询扔出去,果然看到 CPU 压力已经大幅下降了。
有效果就好,我先去喝口水,大早上这么半天连口水都没喝呢,喝水时脑内复盘了一下目前的现状:
第一阶段的防御(拦截恶意 PHP 请求)已经大获全胜!首页的 Redis 缓存被命中。Nginx 直接吐出了静态 HTML,没有调用 PHP,PHP 不再处理那些垃圾请求了。但是他一直在刷首页,还是有点烦人的,毕竟这依然会造成一个持续的 0.5MB/s 的出站流量,虽然这和整体带宽相比并不大,但一天下来也 40 GB 了。倒完水回来喝一口,和同事聊几句工作,咱们继续处理。
echo "" > /var/log/nginx/access.log
查看文件大小:
ls -lh /var/log/nginx/access.log
额,短短60秒,日志文件就有100KB了,一行请求基本是 200 B,一秒内还是有接近10次请求……
> awk '{print $9}' /var/log/nginx/access.log | sort | uniq -c | sort -nr
842 444
744 200
712 301
8 304
5 414
3 302
1 404
> awk '{print $7}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10
1941 /
1160 /?local_ga_js=f78e59fd91e18c7a2940a914030e9743
19 /feed
9 /robots.txt
5 /?local_ga_js=1
4 /music/
4 /favicon.ico
3 /tutorial/971
3 /music/fonts/element-icons.535877f5.woff
2 /wp-content/themes/JieStyle-Two-2.6.2/webfonts/fa-solid-900.woff2
看来不是自动化的脚本,因为针对JS的规则已经生效了,444这种直接断开的行为,在对方看来应该类似于对方关机了,我倒水喝水都过去10分钟了,他还在请求那个JS。
grep "local_ga_js" /var/log/nginx/access.log | awk -F'"' '{print $6}' | sort | uniq -c | sort -nr | head -n 10
1292 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
1290 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
1289 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
78 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36
64 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
18 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36 Edg/143.0.0.0
7 Mozilla/5.0 (Macintosh; Intel Mac OS X 12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 YaBrowser/22.7.0 Yowser/2.5 Safari/537.36
7 Bun/1.3.0
额,这Chrome版本号是不是有点过于统一了。现在的最新 Chrome 版本已经是 140+ 了。就算为了MV2扩展,也不应该停留在 113、110、129这种版本上吧。
至于最后那个Bun/1.3.0,也非常眼熟嘛,明显是个脚本。
# 屏蔽特定的虚假 Chrome 版本
if ($http_user_agent ~* "Chrome/(110|113|129)\.0\.0\.0") {
return 444;
}
配置重载后,重新看一下系统占用
这才正常嘛,搞定收工。
战局已定,服务器恢复了往日的宁静。但作为一个技术人,好奇心驱使我必须把这件事琢磨透:这到底是个啥?
回顾整个事件,它和传统意义上的DDoS或CC攻击截然不同
1. 目的非致死:攻击者精准地将负载和流量控制在报警阈值之下,显然不想让我立刻发现并全力封堵。他的目的不是“打死”我的网站或者一次性薅干我的流量包,而是“持续地、悄悄地偷走”我的出站带宽。
2. 技术特征诡异:固定且无意义的 local_ga_js 参数、集中且陈旧的 Chrome User-Agent(110,113,129)、完全由广东家宽IP构成的庞大且轮换的IP池……这不像黑客工具,更像某种为了模拟“真实用户浏览行为”而设计的工具。
3. 流量流向:我的服务器 RX(接收): TX(发送) 比例严重失衡,高达1:10以上。这意味着攻击者在用极小的请求成本(入站),换取我服务器返回的大量网页数据(出站)。
把这些线索拼起来,一个合理的推测浮出水面:这很可能是一种新的 “PCDN流量平衡” 又名 “刷下行” 行为。
攻击者(或其背后的平台)控制着一个庞大的家庭宽带设备网络(就是那些“广东电信”IP)。这些设备在使用 PCDN 设备赚钱或 获取 PT 站的积分的时候,为了防止因为上行带宽的比例过高而被运营商发现。于是设备被指令去“访问”一些目标网站(比如我的博客),通过持续请求首页和本地谷歌统计代码这类缓存良好的资源,产生大量的下行流量数据。这些流量数据被记录为“他的正常访问”,而我的服务器则成了默默奉献带宽的“奶牛”。
所以,这不是一场充满恶意的破坏,更像是一次精打细算的“白嫖”。我的服务器,不幸成为了别人赚取小钱钱的一个高质量、稳定的下行带宽资源。这种新型刷下行的手段,抛弃了之前单(几个) IP 直接拉满线程,一晚薅干流量包的行为,不再竭泽而渔,而是改为使用大量 IP 轮换,请求的也是体积不太大的资源,请求频率也控制在适当的范围。
对此我只想说:
对我来说,分享行为在于有效传递信息,即使对方是个伸手怪,白嫖党(虽然我不赞同这种白嫖行为),但只要他真的使用了我的数据。无论是看了一个教程解决了问题,还是看到了我的碎碎谈有了一些启发,还是发现了一个有趣的程序,哪怕他不同意我的看法和我激情对线。我的付出兑现了价值就行!数据发挥了作用,成为了他人的养料。这是一种基础但实实在在的价值实现,我可以接受数据服务于个体价值。
而刷流者呢,他们伪装成一个正常的用户,欺骗我宝贵的上行带宽和服务器资源。他们根本没有对数据的实际需求,其唯一目的就是制造虚假流量来应对 ISP 的监控,给他自己获取利益。这是一种彻头彻尾的欺诈性索取。本质上是将个人利益(无论合理与否)粗暴地建立在牺牲、欺骗、并摧毁其他真正分享者的有限资源之上。它非但不是对抗 ISP 强权的“侠客行为”,反而是对同行者的“背后捅刀”,是数字世界的公敌与污点。对于这类披着 P2P 外衣的流量刷子、电子垃圾虫、损人不利己的赛博脑残,必须予以最强烈的鄙视、唾弃和防范!
/?local_ga_js=XXXX其实是本地化 Google Analytics 统计代码,这样谷歌分析才能对中国用户生效(虽然谷歌分析的域名没被墙,但访问并不稳定)所以实际上最后用的 Nginx 配置文件是# 放在 location / 之前
if ($arg_local_ga_js = "f78e59fd91e18c7a2940a914030e9743") {
return 444;
}
要放过正常用户嘛。
5. 不过鉴于这位刷量的说不好也是订阅了我的博客,所以我又做了一些监控措施,以防他变招。
The post 对抗刷流攻击:我是如何通过Nginx防御“绅士刷流”并拯救服务器性能的 appeared first on 秋风于渭水.
天天喊着要在博客上做减法,在2023年底的时候就要《将博客减法进行到底!》,首先提到的就是要把域名做减法。减法做着,域名没有被“减”少反而会越减越多(是不是每位博主都是这样呀!)。暑期的时候折腾兰空图床商业版,为了配合“商业”单独又折腾了几个域名。因为那段时间一直泡在西部数码里,又开始关注“域名抢注”起来。其实对于域名这块,只要你不关注,不去想,基本上不会有购买的欲望。
现在把手里的几个域名列列,都按成本价来出吧!
意思简单直接,图+床,img+bed,cn后辍一直有人使用。域名在西部数据,已挂市场,博友注册价89元出售。https://www.365.hk/ykj/view.asp?domain=imgbed.net
这个域名一看就知道也是用于图床的,网站可以起名为“图歌”。图歌,名子真的好听。域名在趣域,博友注册价出售。
那段时间关注着net和cc短域名,发现这个ICK.CC可以“抢”,感觉不错,ICK嘛,大家都知道,便提交是148元去抢。结果就我一个人在“抢”,尴尬!哈哈!这个域名也在西部数据,博友抢注价148元出售。https://www.365.hk/ykj/view.asp?domain=ick.cc
吐槽下,我在西部挂的域名出售价是200块,结果出售页面是230块!乖,比我赚的多呀!
所思,suo.si,当时折腾长毛象时,为了装X找小韩以500块拿下的。现还是成本价500元出售。有一说一,这个域名做博客、随笔什么的,真的还是不错的。
核心理由:为什么 “所思” 适合做博客域名?
- 贴合博客核心属性:博客的本质是 “记录思考、分享感悟”,“所思” 直接点明 “分享内心所想” 的定位,让读者一眼就知道博客的核心内容 —— 无论是生活随笔、行业思考还是情感抒发,都能完美契合。
- 简洁易记,传播成本低:二字域名短小精悍,无生僻字,口头交流(如 “我的博客是‘所思’”)或书面呈现都容易被记住,相比长域名更易积累长期流量。
- 文学感强,自带格调:“所思” 源自古典文学,自带文雅、细腻的气质,能提升博客的质感,区别于普通流水账式博客,吸引喜欢深度内容、偏爱细腻表达的读者。
- 适配场景极广,不局限内容方向:无论博客是个人随笔、读书分享、行业洞察、旅行感悟还是情感记录,“所思” 都能覆盖 ——“所思” 可是读书心得,可是工作思考,也可是生活碎念,后期内容转型也无需更换域名。
- 无负面联想,通用性强:“所思” 是中性且积极的表达,没有特定行业或场景的限制,不挑博主身份(学生、职场人、创作者均可),也不会因内容调整显得违和。
目前这个域名自己在用,起名曰“图妈图床”,绑定了兰空图床商业版!发现自己用还是多余了,可以连同兰空图床商业版一同成本价出售。
老蔡家的J4125小主机(马捷J4125),配了8G三星内存、1T梵想M.2固态。之前是买来跑点心云的,后来宽带被降速、公网IP被封就没有敢跑,J4125小主机就放在那里吃灰了。家里还有一台同款,用了Esxi做了底层,虚拟了Ikai+OP+DSM,稳定运行了近三年,目前还在效力!可以提供All in one视频教程、工具、安装ISO等,让你体验折腾的乐趣!再送外置硬盘笼,给你的小姐姐们安个家!
价格参考海鲜再适当降底!
