老D以前也拿宽带跑过PCDN,奈何收益太低了,老D也经常在V2EX社区以及各个论坛、QQ群、微信群看到过不少用户的宽带被运营商标记为PCDN,也见到过有很多用户的网站、CDN被刷流量……
自认为自己离PCDN很遥远……
你猜怎么着?嘿!我也被刷了几千GB流量……
直到昨晚,老D收到流量包即将耗尽通知……
流量包耗尽提醒:您的流量包即将耗尽,可能会影响1各注域名资源的使⽤,为了保障业务正常运⾏,建议尽快购买流量包。
刚开始我是懵逼的,老D使用的套餐每月1万GB流量额度,怎么可能用完了?
最近网站的流量也没有波动,每个月一般使用1000GB左右,所以老D很少查看使用量,因为就我拿破站,根本用不完。
经过排查,确定为PCDN刷的流量,特征非常明显,都是家庭宽带用户,而且每个ip只访问首页,每天2-30次,一般为3-8次较多。
所以一般情况下,我们站长无法通过统计查看到这些每个IP地址每天只刷几次的原因,非常隐蔽。
光昨天这个刷得最猛的特征的IP地址一共刷了74万次,而且这些ip地址都是广东以及广西的家庭宽带用户,数量巨大,如果光封ip是无法封禁完的。
User-Agent特征为:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/* Safari/537.36
注意,该UA没有Chrome版本号,所以无法添加到UA黑名单,如果从网站日志查询页可以查看正确的Chrome版本号,但是非常容易误杀。
我们可以直接通过JA3指纹进行精准拦截并追加封禁。
通过查询,这些PCDN的 JA3 指纹为:
| 8ab05683f2e4dd948638ab312a972f44 |
| 7a15285d4efc355608b304698cd7f9ab |
| 9f25da676e655f9e449963edb2fd271a |
关于JA3 指纹:
JA3 指纹是一种用于识别 TLS 客户端的“数字指纹”技术。它通过提取客户端在 TLS 握手阶段发送的 Client Hello 报文中的五个关键字段:
- TLS 版本
- 支持的加密套件(Cipher Suites)
- TLS 扩展列表(Extensions)
- 支持的椭圆曲线(Elliptic Curves)
- 椭圆曲线点格式(Elliptic Curve Formats)
将这些字段按顺序拼接成一个字符串,并对其进行 MD5 哈希计算,最终得到一个 32 位的哈希值,这就是 JA3 指纹 。
所以通过JA3指纹能很精准的封禁这些庞大的PCDN家庭宽带IP地址。
拦截效果:
鉴于不少童鞋可能没有JA3指纹拦截这个功能,那么你只能封ip或者ua了。
建议开启禁止IDC IP访问功能。
通过进一步查询,原来老D的网站以前就一直被刷,但是以前被刷的流量不多,而且IP数量比较少,老D都直接将部分IP地址拉黑了。
下面是老D整理以前到现在一直被刷的IP地址。
以下IP地址经过老D亲自验证,没有一个IP地址是无辜的,包括但不限于:
#下面这几个比较猛,有的是IDC IP地址。
36.110.131.81
36.110.131.78
106.38.226.74
106.38.226.81
106.38.226.212
223.87.14.146
#下面这些都是家庭宽带IP地址,每天都刷。
42.231.16.163
42.231.18.141
42.231.19.49
42.231.20.46
42.231.22.0
36.102.92.127
106.35.245.184
115.51.10.111
115.63.118.135
125.42.64.29
125.42.76.96
182.112.109.147
182.112.147.168
182.112.180.11
182.123.177.40
183.208.250.92
223.74.64.218
223.114.79.10
223.116.85.40
223.116.85.99
222.136.160.234
222.136.161.37
222.136.161.162
222.136.162.51
222.136.162.121
222.136.163.92
222.136.161.104
222.136.164.180
222.136.164.207
222.136.165.155
222.136.165.228
222.136.166.14
222.136.167.157
222.136.167.165原创文章,作者:老D,如若转载,请注明出处:https://laod.cn/7106.html
