|
|
|
联系客服020-83701501

迅雷云造成的DDOS

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
迅雷云组成的DDOS

起因

上周,某部比拟出名的电影据说出了完整版非枪版,因此在某天堂找到了下载地点。然则下载地点已经收效,友好给了个迅雷的会员号,因此就诊理看看是不是枪版。把某天堂的地点拉了进去,果断找到了已经被迅雷缓存掉了。因此想用迅雷的快捷播放听命,但浮现源地点过失,无法快捷播放。

因为博客上vps残余流量充沛,才用了不到3G/500G,因此就用vps把电影下载了,然后用迅雷的离线下载来离线我博客的地点。

在迅雷离线下载的时候,查抄vps的流出流量都比拟波动,根柢上了离线页面浮现的下载速度是近似的。

1切还好,很快就离线好了,此时vps没缔造甚么特别很是。

 

有点标题

用快捷播放复杂看了后,好吧不是枪版,比拟自得,因此就开端用家里电脑下载了。

特地还开了加快通道。。。。。

缔造有点标题,1开端下载,网站顿时就打不开了,1停息,又顿时复原了。

现在认为是迅雷占满了vps 的流出,因此就没怎么管。

监控宝发来了处事器不可用的提醒,还是没管。

继续写功课了。

 

环境分歧过失

写了会功课,大约过了半个多小时,目测电影已经下完了,用手机掀开自己的网站,缔造还是无法掀开。

根柢果断该当是出了甚么事了,蛋疼地掀开了SolusVM平台,我吓尿了。

霎时的流出竟然达到了40M/S,并且占用了我100G的流量…..

no-xunlei

感到到环境不太多,顿时改上电脑开端处理。。。。

 

DDoS deflate溃烂

1直以来都无效DDoS deflate来防止小范畴冲击的风尚

查了下iptables -L,封了的IP并不多,因此就把条件高涨,但缔造还是不可。

因此开端蛋疼的手动封,但缔组成果还是不晓畅,重启了nginx依然网站无法掀开。

cpu占用>85%

top了1下,多个php-fpm进程占用极高

 

查抄特征

把日志拖了上来看看,蛋疼的因为系统功夫出错,招致1开端没缔造被冲击的特征。

当经常间14时支配,然则此时处事器功夫才为9时

蛋疼……

直到我拖到最下面,缔造了被大范畴地访问视频的下载地点,后缀为rmvb

因此果断去nginx写规定把后缀为rmvb的给403掉

 

初见成就

ban掉*.rmvb的访问后,cpu1下子就上来了,复原到了畸形的情况。。

重启处事器后,处事器下的网站均复原了畸形访问。

 

蛋疼又来

上学昂上学昂……

明天回来的时候,缔造尼玛突然多了4G的东西,查了1下,我跪了。

access.log这个巨大的日志文件占用的4G的空间。。。

fuck_xl_1

让我情何故堪……….

更名之,重启nginx,从复活成了1个日志,拉上来1看。。。。。

部分日志

Default
1 121.34.191.96 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; KB974488)"

 

Default
1 180.110.85.117 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].xE8x87xB4xE6x88x91xE4xBBxACxE7xBBx88xE5xB0x86xE9x80x9DxE5x8ExBBxE7x9Ax84xE9x9Dx92xE6x98xA5.HD.1024x576.xE5x9BxBDxE8xAFxADxE4xB8xADxE5xADx97.rmvb HTTP/1.1" 403 564 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; EIE10;ZHCNMSN)"

 

Default
1 110.184.8.46 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].xE8x87xB4xE6x88x91xE4xBBxACxE7xBBx88xE5xB0x86xE9x80x9DxE5x8ExBBxE7x9Ax84xE9x9Dx92xE6x98xA5.HD.1024x576.xE5x9BxBDxE8xAFxADxE4xB8xADxE5xADx97.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0E; BRI/2; InfoPath.2; .NET4.0C; youxihe.1437; Media Center PC 6.0; MASP; youxihe.1437)"

 

Default
1 61.187.6.123 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].xD6xC2xCExD2xC3xC7xD6xD5xBDxABxCAxC5xC8xA5xB5xC4xC7xE0xB4xBA.HD.1024x576.xB9xFAxD3xEFxD6xD0xD7xD6.rmvb HTTP/1.1" 404 10110 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

 

Default
1 61.136.145.119 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 404 10110 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; )"

 

Default
1 218.108.168.178 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%E8%87%B4%E6%88%91%E4%BB%AC%E7%BB%88%E5%B0%86%E9%80%9D%E5%8E%BB%E7%9A%84%E9%9D%92%E6%98%A5.HD.1024x576.%E5%9B%BD%E8%AF%AD%E4%B8%AD%E5%AD%97.rmvb HTTP/1.1" 404 10110 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)"

 

Default
1 180.110.85.117 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; EIE10;ZHCNMSN)"

 

Default
1 113.120.105.197 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%E8%87%B4%E6%88%91%E4%BB%AC%E7%BB%88%E5%B0%86%E9%80%9D%E5%8E%BB%E7%9A%84%E9%9D%92%E6%98%A5.HD.1024x576.%E5%9B%BD%E8%AF%AD%E4%B8%AD%E5%AD%97.rmvb HTTP/1.1" 404 10110 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

 

Default
1 59.56.115.134 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)"

 

Default
1 61.131.97.40 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; MATP; Media Center PC 6.0)"

 

Default
1 114.83.179.112 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].xD6xC2xCExD2xC3xC7xD6xD5xBDxABxCAxC5xC8xA5xB5xC4xC7xE0xB4xBA.HD.1024x576.xB9xFAxD3xEFxD6xD0xD7xD6.rmvb HTTP/1.1" 404 10110 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; youxihe.1577)"

 

 

及时返回了403,然则每秒N次不同处所来的流量你也伤不起啊是不是。。。。

持久炒鱿鱼了日志听命…….

删掉了阿谁4G的大日志…..

部分日志下载:access

写在反面

想了想为甚么会有那么多不同处所的机子访问这个地点,这个地点除了我自己晓得以外不有呈文过外人。

该当便是迅雷的标题了,这部电影那时比拟红,大约在离线下载的时候,我这边离线到的MD5与某天堂那处电影的MD5近似,因此迅雷就把我当成了源地点之1,但用户在离线处事器提出下载哀求的时候,部分下载哀求就会转移到我这边。

从日志中抓了个IP去查,某某宽带,该当不会是迅雷官方处事器,而是用户机子了..

当然,下面的只是我的猜想,有甚么分歧过失的处所也敬请指出讨论讨论…

现在这个地点每秒种也有N的哀求,试想1下,将这个地点rewrite到某些自己不LOVE的网站,会组成CC冲击么?

假如上口试想竖立的话,即用自己的vps离线1个热门的文件后,部分下载哀求访问从前,rewrite到外人的网站,岂不是组成了1个很牛X的冲击?

just for fun!

91ri.org:博主想自己的vps离线1个热门的文件后,部分下载哀求访问从前,rewrite到外人的网站以此来组成1个DDOS冲击。集团是感觉这个思绪仿佛可行,在方针站上找个大的文件,并且转发早年。那么就有大约有很曲直是非常多的用户去哀求这个文件。那么方针站天然就230;.. 咳咳230;.

ps核总的设施:还大要尝尝在百度贴吧大流量帖子里何等:

Default
1 <img src="/uploads/allimg/191022/095ZA914-2.jpg" />

也许何等:

Default
1 <img src="/uploads/allimg/191022/095ZA1U-4.jpg" />

你懂的230;.

相关案例:《操纵P2P网络带动大范畴、大流量DDOS冲击》

原文link:http://imlonghao.com/post/2013-05-24/%E8%BF%85%E9%9B%B7%E4%BA%91%E4%BD%A0%E4%BC%A4%E4%B8%8D%E8%B5%B7%E5%95%8A

本文由网络坦然攻防研究室(www.91ri.org)信息坦然小组搜集整顿,转载请说明出处。

数安新闻+更多

证书相关+更多