推荐书目
› 高性能网站建设进阶指南
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
› High Performance Web Sites
› Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
这是一个创建于 537 天前的主题,其中的信息可能已经有所发展或是发生改变。
一直拿腾讯云轻应用服务器当 frp 用,最近想着分享一些文件给别人,开了个 nginx 服务器上传了一些静态文件让人临时下载一下。开 accesslog 看了一下,发现有时会有些来自腾讯云自己服务器在访问这些文件。一般正常人都是一批文件一起下载的,accesslog 里面看到是连续相同的 IP 在访问,但来自腾讯云的访问是单独的且一个 IP 只访问一个文件,不带重复的。我的文件名都是 20 位随机字符,而且没开目录 index ,感觉一次命中路径基本不可能。我的 frp 等对外服务都是开在各自 docker 里面,不太像 host 被挂马,挂马感觉也完全不需要再走 nginx 访问一遍下载。
想了一下会不会有可能是请求被子网内其他主机监听然后重放?症状是下面这样的:
A 型攻击的日志
114.132.203.161 - - [05/Jun/2023:11:46:32 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 5601404 "http://xxx/download/play.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36" "-"
106.55.201.95 - - [05/Jun/2023:11:46:38 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 6505301 "-" "-" "-"
它先拿 114.132.203.161 这个重放了 play.html 的请求,没把文件下载完,然后换了个 IP 重新下载了文件。它这个 UA 看着像哪个 headless browser 的。
B 型攻击的日志
我的 IP - - [05/Jun/2023:18:35:58 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"
220.196.160.96 - - [05/Jun/2023:18:46:02 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"
我开始以为是爬虫爬的,设了 referer 和 UA 的过滤,然后想着拿 curl 试一下,结果隔了几分钟有另外一个 IP 照着我的请求来了一次。
所以这种是腾讯云的问题吗?还有什么办法发现攻击源以及防止攻击?
 |
1
sduoduo233 2023-06-05 20:04:13 +08:00
最简单的方法就是把整个 ip 段屏蔽
|
 |
2
laqow OP 感觉看起来很像是了 https://www.v2ex.com/t/934289 https://www.v2ex.com/t/860476 。如果只是应对在服务器对有限人群分享静态文件这种有没有比较简单的办法应对这种问题?比如给 nginx 加个设置能自己在头里加时间戳的?
|
 |
3
giaodadi 2023-06-05 23:30:33 +08:00
开了 https 吗
|
 |
4
IvanLi127 2023-06-05 23:38:41 +08:00 via Android
联系腾讯云看看呗,难得有客服,不找白不找🤣
|
Select Language