最近,大批博主、公司網站同時遭遇惡意盜刷流量,少的被薅走幾十、幾百塊錢的流量費,多的上萬都有,直接被刷到欠費。本人公司的小網站也毫不例外地進入了盜刷射程範圍之內……7月6號晚上7點左右,我正在某網紅餐廳門口排隊,突然收到CDN服務商的報警簡訊,幾分鐘後客服小哥的電話直接打了過來,說我公司網站被盜刷了,建議封禁指定IP,我一看截圖,頻寬直接原地起飛。按這麼刷,這個月得虧出十幾個w,趕緊讓客服給封了。後來幾天又反覆出現了幾次,還都是差不多的時間點,我直接讓客服發現盜刷後直接封,通知我一聲就行。整體影響算是被控制住了。
作為網際網路相關從業者+(及時止了損但仍心有餘悸的)受害者,我講講這裡面的門道吧。
一、為什麼當前盜刷頻發?
歸結起來就是兩個因素,PCDN 和省間結算。
1、“上有政策、下有對策”的PCDN
PCDN是利用家庭頻寬,提供內容下載加速的一種技術。什麼是家庭頻寬?就是你在學校宿舍或者家裡辦理的頻寬。當你在家裡下載電影時,資料是從外部流向你的家裡,我們把這個方向的流量叫作下行流量。相反,你向外傳送一個大檔案,資料是從你的家裡流向外部,這個方向的流量叫作上行流量。正常來講,我們下載檔案比傳送檔案多,所以下行流量也應該比上行流量多。
PCDN利用了家庭頻寬的上行流量,向外傳送檔案,給外部應用提供傳輸服務。這個時候,就會發生上行頻寬遠超下行頻寬的情況。如果你發現你家上行頻寬特別高,那麼恭喜你,你可能被人薅羊毛了。
運營商(電信、移動、聯通)是明令禁止PCDN技術的,如果運營商發現家庭頻寬的上行流量佔比過大,就會識別為PCDN並進行查封。為了逃避監管,PCDN需要提升下行流量的佔比,於是瘋狂地從外部下載檔案——這就是盜刷的來源之一!如果你發現自己的部落格網站被人瘋狂下載檔案,很有可能就是被PCDN拉下行了。
2、“搶蛋糕”的省間結算
省間結算是三大運營商近期釋出的政策。簡單概況就是,如果客戶端與服務端位於不同省份,那麼服務端所在省份,要給客戶端所在省份,支付一定的流量結算費用。舉個例子,你人在浙江省,用手機下載了一個檔案,而檔案下載來源是在山西省的一臺伺服器,那麼浙江省就可以向山西省要錢——“你搶了我的客戶!”
這個政策本意是為了最佳化各個省份運營商的利益分配。但有些地市運營商動了歪心思,既然客戶端省份可以向服務端省份收錢,那麼我冒充客戶端,向外省下載檔案,豈不是可以坐著收錢了?這就是盜刷的第二大來源!
二、盜刷的特徵
如果你的平臺或者網站,突發了大量的下載請求,頻寬陡增,但你又沒做什麼推廣活動,那麼很又可能就是被盜刷了。盜刷有幾個比較明顯的特徵:
1、盜刷主要下載大檔案:盜刷的目的是PCDN拉下行,或者跨省結算,所以會拉取內容較大的檔案,才能將流量刷上去;
2、客戶端IP網段相對集中:盜刷不像CC或者DDoS那麼有攻擊性,盜刷來源的分佈比較集中,所以客戶端IP網段會相對集中;
3、請求的檔案比較固定:如果一個客戶端反覆下載同一個檔案,大機率存在異常;
4、有比較明顯的標識:盜刷是模擬的客戶端,但和正常的客戶端還是有些微差異的,你可以看看UA、Referer、IP有沒有比較固定。
三、如何防止盜刷
如果你能夠識別到上述的特徵,那可以根據對應特徵來進行封禁,拒絕訪問。如果你提供的是Web服務,你可以輸出訪問日誌,我推薦日誌中記錄以下關鍵欄位:
1、客戶端IP
2、UA (HTTP請求頭User-Agent)
3、Referer(HTTP請求頭)
4、URL
5、被下載的檔案大小
6、下載時間
這些資訊足夠你分析出盜刷的特徵了。當你的網站出現異常突增流量時,按這些特徵進行統計,比如10分鐘內,你的90%流量消耗都集中在幾個IP上,那基本就是盜刷行為。
除了透過日誌分析,還可以做一些提前防禦,比如配置時間戳防盜鏈,具體原理就不解釋了,大家可以網上搜,大概的作用就是給你的下載連結加一個有效期,超過有效期訪問連結就會失效,這可以阻擋一部分盜刷。還可以配置Referer白名單,只有你指定的Referer才能訪問你的資源。
現在盜刷逐漸產業化,你去某寶某魚搜拉下行,會有一堆接單的,真是什麼錢都能賺。很多平臺和網站不具備足夠的技術能力來對抗盜刷,需要投入的精力很大。而且即使你成功封禁了一兩次,盜刷又會更新特徵,來繞過你的防護策略,野火燒不盡。我們目前在用的是白山雲的CDN,產品和服務都還可以,這次及時發現並封禁止損也是多虧了他們。建議大家有防盜刷需求的,也可以多瞭解、求助下這些CDN和安全領域的專業服務商,看看他們能否為你提供一些防護策略。最後就是想再提醒下大家,吃一塹長一智,這個年頭賺錢不易,大家得多加小心,嚴防惡意盜刷流量,拒絕薅羊毛,保衛錢袋子!