迅雷云造成的DDOS

起因

上周,某部比较出名的电影据说出了完整版非枪版,于是在某天堂找到了下载地址。但是下载地址已经失效,朋友给了个迅雷的会员号,于是就打算看看是不是枪版。把某天堂的地址拉了进去,果断找到了已经被迅雷缓存掉了。于是想用迅雷的快速播放功能,但显示源地址错误,无法快速播放。

由于博客上vps剩余流量充足,才用了不到3G/500G,于是就用vps把片子下载了,然后用迅雷的离线下载来离线我博客的地址。

在迅雷离线下载的时候,查看vps的流出流量都比较稳定,基本上了离线页面显示的下载速度是相同的。

一切还好,很快就离线好了,此时vps没发现什么异常。

 

有点问题

用快速播放简单看了后,好吧不是枪版,比较满意,于是就开始用家里电脑下载了。

顺便还开了加速通道。。。。。

发现有点问题,一开始下载,网站马上就打不开了,一暂停,又马上恢复了。

当初以为是迅雷占满了vps 的流出,于是就没怎么管。

监控宝发来了服务器不可用的提醒,还是没管。

继续写作业了。

 

情况不对

写了会作业,大概过了半个多小时,目测电影已经下完了,用手机打开自己的网站,发现还是无法打开。

基本判断应该是出了什么事了,蛋疼地打开了SolusVM平台,我吓尿了。

瞬时的流出居然达到了40M/S,并且占用了我100G的流量…..

no-xunlei

感觉到情况不太多,马上改上电脑开始处理。。。。

 

DDoS deflate战败

一直以来都有用DDoS deflate来防御小规模攻击的习惯

查了下iptables -L,封了的IP并不多,于是就把条件降低,但发现还是不行。

于是开始蛋疼的手动封,但发现效果还是不明显,重启了nginx依然网站无法打开。

cpu占用>85%

top了一下,多个php-fpm进程占用极高

 

检查特征

把日志拖了下来看看,蛋疼的由于系统时间出错,导致一开始没发现被攻击的特征。

当时时间14时左右,但是此时服务器时间才为9时

蛋疼……

直到我拖到最下面,发现了被大规模地访问视频的下载地址,后缀为rmvb

于是果断去nginx写规则把后缀为rmvb的给403掉

 

初见成效

ban掉*.rmvb的访问后,cpu一下子就下来了,恢复到了正常的状况。。

重启服务器后,服务器下的网站均恢复了正常访问。

 

蛋疼又来

上学昂上学昂……

今天回来的时候,发现尼玛突然多了4G的东西,查了一下,我跪了。

access.log这个伟大的日志文件占用的4G的空间。。。

fuck_xl_1

让我情何以堪……….

改名之,重启nginx,重新生成了一个日志,拉下来一看。。。。。

部分日志

 

 

 

 

 

 

 

 

 

 

 

 

及时返回了403,但是每秒N次不同地方来的流量你也伤不起啊是不是。。。。

暂时停用了日志功能…….

删掉了那个4G的大日志…..

部分日志下载:access

写在后面

想了想为什么会有那么多不同地方的机子访问这个地址,这个地址除了我自己知道之外没有告诉过别人。

应该就是迅雷的问题了,这部电影当时比较红,可能在离线下载的时候,我这边离线到的MD5与某天堂那边电影的MD5相同,因此迅雷就把我当成了源地址之一,但用户在离线服务器提出下载请求的时候,部分下载请求就会转移到我这边。

从日志中抓了个IP去查,某某宽带,应该不会是迅雷官方服务器,而是用户机子了..

当然,上面的只是我的猜测,有什么不对的地方也敬请指出讨论讨论…

现在这个地址每秒种也有N的请求,试想一下,将这个地址rewrite到某些自己不喜欢的站点,会造成CC攻击么?

假如上面试想成立的话,即用自己的vps离线一个热门的文件后,部分下载请求访问过来,rewrite到别人的站点,岂不是造成了一个很牛X的攻击?

just for fun!

91ri.org:博主想自己的vps离线一个热门的文件后,部分下载请求访问过来,rewrite到别人的站点以此来造成一个DDOS攻击。个人是觉得这个思路似乎可行,在目标站上找个大的文件,并且转发过去。那么就有可能有非常非常多的用户去请求这个文件。那么目标站自然就….. 咳咳….

ps核总的办法:还可以试试在百度贴吧大流量帖子里这样:

或者这样:

你懂的….

相关案例:《利用P2P网络发动大规模、大流量DDOS攻击

原文link:http://imlonghao.com/post/2013-05-24/%E8%BF%85%E9%9B%B7%E4%BA%91%E4%BD%A0%E4%BC%A4%E4%B8%8D%E8%B5%B7%E5%95%8A

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。