一次CDN被盗刷的憋屈经历
7月7日,收到来自CDN群的告警,当天带宽峰值较往日上涨600倍,进一步发现是某一宣传视频被反复下载,下载用户的IP集中,都是来自山西联通ADSL的一个C段。
通过带宽比较,6日开始就有下载,时间晚上八点开始,一直持续到夜间十一点。至此,初步的用户画像如下
- 恶意用户IP集中,都是来自山西联通adsl用户。221.205.169段
- 时间点固定20:00-23:00
- 下载大文件,我们是一段100MB的宣传视频。每3-5秒下载一次
- 屏蔽IP后,会更换IP,不断变化UA进行下载
两天账单被刷了
2万!😓
至此,没想明白这种损人不利己的行为。直到看到v2的一篇类似帖子(https://www.v2ex.com/t/1055510#reply27),pcdn用户手动制造下行流量,伪装成正常用户,妄图躲过运营商审查。鉴于对公司利益造成实际损失,联合安全同事决定报警,起码提醒对方不要再有此行为。提供资料后警方不予立案,理由如下
- 宣传视频本属于公开资源
- 源站当时未宕机
对我们提出的经济损失不予认可。不理解但尊重!!最终因为这一两例“老鼠屎”用户,全局限制了下载速度