前几天过年过得好好的,突然收到网站流量警告,说是本月流量已消耗80%,需要注意。

这不可能呀,这个月才过了还没一星期呢。

遂上控制台看了一眼流量报告。

原来从一月底开始,这个站就在被疯狂刷流量,平均每天3G左右,而且时间分布均匀,每天都是24小时不停的刷流量。

看访问记录得知,该攻击者只是简单的不断的一遍又一遍的从你网站上下载正常的图片文件而已(该站图片比较高清,所以体积有点大)。

这种看似简单的攻击实际上是最不好防的,因为这一切的访问都是正常访问,而且每访问一个文件就换一个IP,根本不能设置黑名单去防他。

虽然不影响网站的正常使用,但这样放任下去也不是办法啊,要知道流量都钱买来的呀。

干他。。。

仔细看LOG文件,发现攻击者是用工具下载,页该工具没有携带referer,所以我首先在.httaccess文件中将访问jpg|png文件并且不携带referer的或者referer不是本站的(注意放流百度图片)的访问全部跳转到一个不存在的文件上,这样该工具产生的访问就会出错。

上传.httaccess并观察一天。

效果还是非常显著的,网站流量由以前的每天3G左右,骤减到每天两百多兆。

不行,这还是有点多。

因为LOG里,攻击者还是能刷我的html文件,还是在浪费流量。

而且我看到攻击者用的user-agent居然是Firefox/7.0.1,要知道,现在Firefox版本已经更新到93了,怎么可能还有7.0版存在。这一看就是个不入流的程序员使用了网上古老的开源代码,而且不知道改这里。

这就简单了,直接屏蔽user-agent带有Firefox/7.0.1的访问。

再次测试一天,流量降到了不到200M。

再次观察LOG,该攻击者在一直出错6个小时后发现了。于是用它自己的电脑(没有换IP)并用一个GO语言写的工具(user-agent有Go-http-client/1.1字样)测试为啥刷不到文件。

看到它经过几次的测试,我服务器返回给他的都是302或404的状态,好像它放弃了。在9号傍晚18点54分停止了用工具刷流量。并且一直到我写文章都没有再刷我这个站了。

至此告一段落。

如果它还贼心不死,接下来我还要再多试几种姿势来解决这种情况。