这是一个创建于 524 天前的主题,其中的信息可能已经有所发展或是发生改变。
刚刚发现一直有个 IP ,在用程序高频恶意访问我们接口,服务器访问流量带宽被它占用高达 20M/s ,这个来源 IP 还是阿里云的 IP ,应该是有实名可找到人的。
目前我暂时在安全组先屏蔽了他。
已经给阿里云提了工单了,请问有办法制止这个人吗,之前我看到有新闻案例,这种攻击,被抓到被判 3-7 年的。我已经和阿里云沟通看能不能找到人协助我送他进局子。
这个人的行为,已经对我们服务造成了损失,账号余额资源被消耗、服务访问受影响,请问除了看阿里那边怎么处理,我自己能采取哪些访问措施呢?比如 nginx 设置根据 ip 限制访问频率,有用吗?或者有其他更好的方案吗
目前我暂时在安全组先屏蔽了他。
已经给阿里云提了工单了,请问有办法制止这个人吗,之前我看到有新闻案例,这种攻击,被抓到被判 3-7 年的。我已经和阿里云沟通看能不能找到人协助我送他进局子。
这个人的行为,已经对我们服务造成了损失,账号余额资源被消耗、服务访问受影响,请问除了看阿里那边怎么处理,我自己能采取哪些访问措施呢?比如 nginx 设置根据 ip 限制访问频率,有用吗?或者有其他更好的方案吗
第 1 条附言 · 2023-06-16 11:29:02 +08:00
现在不知道到底要怎么搞了我,我到底要不要去网监报警呢?会不会很麻烦?我担心这次不给攻击者点颜色,下次还会来搞我们,这次应该是比较好的机会了,对方漏出马脚了,直接用的阿里云服务器发出攻击,是比较大可能抓到人的
 |
1
LeegoYih 2023-06-16 10:39:50 +08:00
对于阿里云来说,这就是一个赚钱的机会,他只会跟你说:“DDoS 防护了解一下?”,你还想指望他?
攻击是有成本的,IP 也要钱,找个运维盯着,来一个封一个。 或者某个 IP 在一定时间内请求次数超过阈值自动加黑名单,误封找客服。 |
 |
2
OutOfMemoryError 2023-06-16 10:44:14 +08:00
之前在 b 站好像看个 up 主, 在哪个平台的 oss 被刷了十几个 T 流量, 价格不到 1w ,然后后来那个 up 主说盗刷者已经拘留 会判 3-7 来着?然后给豁免账单了
|
 |
4
simplove 2023-06-16 10:47:05 +08:00
非常同意 1 楼的说法,如果攻击 IP 不是阿里云的你又打算怎么处理,比如是国外的 IP
可能要定制一些监控程序来监控接口的流量,带宽等,有及时的邮箱,短信通知才能防得住,或者直接买阿里的防护服务 |
 |
5
brader OP 兄弟们,离了个大谱,阿里售后居然敢说这个 IP 是他们云安全中心漏洞扫描的 ip ,虽然他们这么老实,但我估计是这个售后不懂乱说的,我分析日志,这就是一个模拟请求接口攻击,还传参的,漏洞扫描这么智能?还能知道传参?你们说阿里这么坑自己,我要不要找他们追责,他自己都说了是他们的 IP ,笑死
 |
 |
8
whileFalse 2023-06-16 10:53:59 +08:00 via Android
漏洞扫描确实会传参。这个反馈下让他们改进吧
|
|
9
brader OP @Kinnice 我还是觉得漏洞扫描程序不能做到这么智能吧?因为我这个接口,好几个参数,其中有一个参数还是动态 json 自动,难道扫描器这也能知道?
|
 |
10
opengps 2023-06-16 10:55:59 +08:00
这种协助需要法务部门,你不报警再找阿里云,阿里云哪有理由去协助你
|
|
11
brader OP @whileFalse 我觉得不单是改进就好了,我损失了带宽流量,业务账号余额,访问服务受损,这不要求他们补偿吗
|
|
12
whileFalse 2023-06-16 11:01:59 +08:00 via Android
@brader 要求呗 支持你
|
 |
13
xyjincan 2023-06-16 11:08:28 +08:00
报警
|
 |
15
leaflxh 2023-06-16 11:16:38 +08:00 via Android
20MB/s ,扫的速度挺快
|
 |
16
richangfan 2023-06-16 11:19:51 +08:00
先从阿里云跑路吧
|
|
17
brader OP @Kinnice
@whileFalse 阿里云最新答复来了,真无语,目前我不知道要怎么处理: 您好,这边和后端确认了一下,47.242.232.14 这个 ip 是其他阿里云账号下的服务器 ip ,对方为什么一直访问您的服务器的话这边无法判断,如果不是您的正常业务访问 ip 的话,您可以在安全组里面进行屏蔽,谢谢 |
 |
20
fengjianxinghun 2023-06-16 11:39:04 +08:00
还想真抓人?泰拿衣服了。。。除非你的域名是 gov
|
 |
21
Mithril 2023-06-16 11:45:02 +08:00
@brader 都别信,直接报警吧。
你这次能检测出来恶意访问,可以 ban 了它 IP ,下次就不一定能检测出来了。 如果是随机扫描倒还好,针对性攻击的话,谁知道下次它能想出来什么办法。而且这次你能找到阿里云,下次就不一定是什么跳板了。 所以有机会就一定要直接摁死。 |
|
22
brader OP @Mithril 应该是故意攻击的,他是专门故意消耗我那个接口的余额,我刚才仔细分析了一下请求访问日志,我发现有 2 个 IP 疑似同一个攻击者发出的,他先是一个台湾的 IP ,先试水攻击,频率大概是 4 个请求 /s ,然后早上,就换成了阿里服务器 IP 进行超高频访问了
|
 |
23
Moofeng 2023-06-16 11:59:46 +08:00
我帮你看下
|
 |
24
retanoj 2023-06-16 12:11:20 +08:00 via iPhone
上阿里云 waf
btw ,消耗接口余额是啥意思?你的接口是在调用类似 ChatGPT 这种? |
 |
26
Ashore 2023-06-16 13:30:35 +08:00
@OutOfMemoryError 鱼皮?只能说他活该
|
 |
27
liantian 2023-06-16 13:50:40 +08:00
说报警,那是没用过 VPS 啊。这互联网上,被攻击不是家常便饭么...
既然接口余额能被这么简单消耗,那就先解决接口问题,加认证,上 WAF ,藏源 IP ,基础工作做足,慢慢习惯吧。 |
|
29
xyjincan 2023-06-16 14:19:58 +08:00
保留原始日志记录,
|
 |
30
qa2080639 2023-06-16 14:23:53 +08:00
我们公司也挨基本同样套路攻击短信接口 报了本地网警 过来提取了日志后面就没下文了
|
 |
31
nkidgm 2023-06-16 14:58:45 +08:00
零星特殊 IP 就先 block 掉,如果是 ddos 那没办法,最直接的办法就是花钱。
|
|
32
OutOfMemoryError 2023-06-16 15:25:05 +08:00
@Ashore 好像是另一个人
|
 |
33
vueli 2023-06-16 16:55:43 +08:00
你是没见过腾讯的小程序的那个扫描,更 ddos 一样。有网友晒出截图。https://developers.weixin.qq.com/community/minihome/doc/0008ea401c89c02cff2d1345051001?blockType=99
|
|
34
vueli 2023-06-16 16:56:11 +08:00
我司也遇到过,不然都不知道这种情况
|
 |
36
28Sv0ngQfIE7Yloe 2023-06-16 17:26:41 +08:00
|
 |
37
DefineJ 2023-06-16 17:45:27 +08:00
如果故意的,用阿里自己的 ip 攻击就太秀了
|
 |
38
shankun 2023-06-16 17:54:38 +08:00 via Android
为了让你购买 waf
|
|
39
liantian 2023-06-16 17:57:39 +08:00 via iPhone
@brader
1. 用 cdn 隐藏 ip 。让 cdn 档一档。 2. 用 ModSecurity+nginx 这种免费的 waf 也能挡住相当多的 3. 开发上多上点心思,接口认证什么多 review…。 我不知道你什么 api…但是这东西如果是热门的有利益的,很容易被 dd…cc 很多个人买 vps 就搭个梯子,看看 ssh 日志大小都能吓一跳… |
 |
40
dann73580 2023-06-16 20:28:40 +08:00
话说用免费的挡一下呢,goedge 免费版这方面做的也挺好的。可以先用着。
|
 |
41
mytsing520 2023-06-16 22:08:21 +08:00
从 IP 地址来看,确实不是阿里云日常自有地址范围。
现在拿公有云来做扫描的确实很多,我这里这几年就遇到了大批量拿阿里云、腾讯云、百度云、AWS 、AWS (中国)、Azure 、Azure (中国)、华为云等的 IP 地址,部署了个扫描器就在那里一天到晚扫描的。。 我建议 OP 到 https://report.aliyun.com 提交滥用投诉,同时在安全组里设置为黑名单,剩下的就是阿里云这边 Abuse 部门该做的事情了 |
 |
42
idc906 2023-08-10 15:05:17 +08:00 via iPhone
这种攻击叫做 CC ,是 DDOS 攻击分类的一种,专门打的 cpu api 接口 数据库这些,如果在遇到可以联系我解决,微 idc906
|
Select Language