V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
brader
V2EX  ›  程序员

阿里云 ECS 的接口被高频访问攻击怎么办

  •  
  •   brader · 2023-06-16 10:22:11 +08:00 · 3606 次点击
    这是一个创建于 520 天前的主题,其中的信息可能已经有所发展或是发生改变。
    刚刚发现一直有个 IP ,在用程序高频恶意访问我们接口,服务器访问流量带宽被它占用高达 20M/s ,这个来源 IP 还是阿里云的 IP ,应该是有实名可找到人的。
    目前我暂时在安全组先屏蔽了他。
    已经给阿里云提了工单了,请问有办法制止这个人吗,之前我看到有新闻案例,这种攻击,被抓到被判 3-7 年的。我已经和阿里云沟通看能不能找到人协助我送他进局子。

    这个人的行为,已经对我们服务造成了损失,账号余额资源被消耗、服务访问受影响,请问除了看阿里那边怎么处理,我自己能采取哪些访问措施呢?比如 nginx 设置根据 ip 限制访问频率,有用吗?或者有其他更好的方案吗
    第 1 条附言  ·  2023-06-16 11:29:02 +08:00
    现在不知道到底要怎么搞了我,我到底要不要去网监报警呢?会不会很麻烦?我担心这次不给攻击者点颜色,下次还会来搞我们,这次应该是比较好的机会了,对方漏出马脚了,直接用的阿里云服务器发出攻击,是比较大可能抓到人的
    42 条回复    2023-08-10 15:05:17 +08:00
    LeegoYih
        1
    LeegoYih  
       2023-06-16 10:39:50 +08:00
    对于阿里云来说,这就是一个赚钱的机会,他只会跟你说:“DDoS 防护了解一下?”,你还想指望他?

    攻击是有成本的,IP 也要钱,找个运维盯着,来一个封一个。
    或者某个 IP 在一定时间内请求次数超过阈值自动加黑名单,误封找客服。
    OutOfMemoryError
        2
    OutOfMemoryError  
       2023-06-16 10:44:14 +08:00
    之前在 b 站好像看个 up 主, 在哪个平台的 oss 被刷了十几个 T 流量, 价格不到 1w ,然后后来那个 up 主说盗刷者已经拘留 会判 3-7 来着?然后给豁免账单了
    brader
        3
    brader  
    OP
       2023-06-16 10:44:29 +08:00
    @LeegoYih 这样就太被动了,一直在等别人搞自己
    simplove
        4
    simplove  
       2023-06-16 10:47:05 +08:00
    非常同意 1 楼的说法,如果攻击 IP 不是阿里云的你又打算怎么处理,比如是国外的 IP
    可能要定制一些监控程序来监控接口的流量,带宽等,有及时的邮箱,短信通知才能防得住,或者直接买阿里的防护服务
    brader
        5
    brader  
    OP
       2023-06-16 10:48:29 +08:00
    兄弟们,离了个大谱,阿里售后居然敢说这个 IP 是他们云安全中心漏洞扫描的 ip ,虽然他们这么老实,但我估计是这个售后不懂乱说的,我分析日志,这就是一个模拟请求接口攻击,还传参的,漏洞扫描这么智能?还能知道传参?你们说阿里这么坑自己,我要不要找他们追责,他自己都说了是他们的 IP ,笑死
    Kinnice
        6
    Kinnice  
       2023-06-16 10:50:17 +08:00
    @brader #5 漏洞扫描,模拟接口确实会传参,还会各种 fuzz..... OP 可以了解一下目前的现代扫描器
    brader
        7
    brader  
    OP
       2023-06-16 10:53:57 +08:00
    @Kinnice 意思就是阿里自己承认的是真的咯,他们这个行为,给我造成损失,那我是真的可以找他赔偿了?他自己都承认了
    whileFalse
        8
    whileFalse  
       2023-06-16 10:53:59 +08:00 via Android
    漏洞扫描确实会传参。这个反馈下让他们改进吧
    brader
        9
    brader  
    OP
       2023-06-16 10:55:36 +08:00
    @Kinnice 我还是觉得漏洞扫描程序不能做到这么智能吧?因为我这个接口,好几个参数,其中有一个参数还是动态 json 自动,难道扫描器这也能知道?
    opengps
        10
    opengps  
       2023-06-16 10:55:59 +08:00
    这种协助需要法务部门,你不报警再找阿里云,阿里云哪有理由去协助你
    brader
        11
    brader  
    OP
       2023-06-16 10:56:31 +08:00
    @whileFalse 我觉得不单是改进就好了,我损失了带宽流量,业务账号余额,访问服务受损,这不要求他们补偿吗
    whileFalse
        12
    whileFalse  
       2023-06-16 11:01:59 +08:00 via Android
    @brader 要求呗 支持你
    xyjincan
        13
    xyjincan  
       2023-06-16 11:08:28 +08:00
    报警
    Kinnice
        14
    Kinnice  
       2023-06-16 11:12:29 +08:00
    @brader #9 对的,现在漏扫确实很智能了,但是又不是特别智能
    leaflxh
        15
    leaflxh  
       2023-06-16 11:16:38 +08:00 via Android
    20MB/s ,扫的速度挺快
    richangfan
        16
    richangfan  
       2023-06-16 11:19:51 +08:00
    先从阿里云跑路吧
    brader
        17
    brader  
    OP
       2023-06-16 11:27:24 +08:00
    @Kinnice
    @whileFalse 阿里云最新答复来了,真无语,目前我不知道要怎么处理:
    您好,这边和后端确认了一下,47.242.232.14 这个 ip 是其他阿里云账号下的服务器 ip ,对方为什么一直访问您的服务器的话这边无法判断,如果不是您的正常业务访问 ip 的话,您可以在安全组里面进行屏蔽,谢谢
    Mithril
        18
    Mithril  
       2023-06-16 11:37:18 +08:00
    @brader 不是刚说漏洞扫描的 IP 么,这么快就转移出去了?
    brader
        19
    brader  
    OP
       2023-06-16 11:38:53 +08:00
    @Mithril 是的,客服真能忽悠,现在改口了,我该信哪句
    fengjianxinghun
        20
    fengjianxinghun  
       2023-06-16 11:39:04 +08:00
    还想真抓人?泰拿衣服了。。。除非你的域名是 gov
    Mithril
        21
    Mithril  
       2023-06-16 11:45:02 +08:00
    @brader 都别信,直接报警吧。
    你这次能检测出来恶意访问,可以 ban 了它 IP ,下次就不一定能检测出来了。
    如果是随机扫描倒还好,针对性攻击的话,谁知道下次它能想出来什么办法。而且这次你能找到阿里云,下次就不一定是什么跳板了。
    所以有机会就一定要直接摁死。
    brader
        22
    brader  
    OP
       2023-06-16 11:51:02 +08:00
    @Mithril 应该是故意攻击的,他是专门故意消耗我那个接口的余额,我刚才仔细分析了一下请求访问日志,我发现有 2 个 IP 疑似同一个攻击者发出的,他先是一个台湾的 IP ,先试水攻击,频率大概是 4 个请求 /s ,然后早上,就换成了阿里服务器 IP 进行超高频访问了
    Moofeng
        23
    Moofeng  
       2023-06-16 11:59:46 +08:00
    我帮你看下
    retanoj
        24
    retanoj  
       2023-06-16 12:11:20 +08:00 via iPhone
    上阿里云 waf
    btw ,消耗接口余额是啥意思?你的接口是在调用类似 ChatGPT 这种?
    brader
        25
    brader  
    OP
       2023-06-16 12:12:54 +08:00
    @retanoj 是的
    Ashore
        26
    Ashore  
       2023-06-16 13:30:35 +08:00
    @OutOfMemoryError 鱼皮?只能说他活该
    liantian
        27
    liantian  
       2023-06-16 13:50:40 +08:00
    说报警,那是没用过 VPS 啊。这互联网上,被攻击不是家常便饭么...

    既然接口余额能被这么简单消耗,那就先解决接口问题,加认证,上 WAF ,藏源 IP ,基础工作做足,慢慢习惯吧。
    brader
        28
    brader  
    OP
       2023-06-16 14:08:35 +08:00
    @liantian WAF 太贵了,小公司耗不起啊
    xyjincan
        29
    xyjincan  
       2023-06-16 14:19:58 +08:00
    保留原始日志记录,
    qa2080639
        30
    qa2080639  
       2023-06-16 14:23:53 +08:00
    我们公司也挨基本同样套路攻击短信接口 报了本地网警 过来提取了日志后面就没下文了
    nkidgm
        31
    nkidgm  
       2023-06-16 14:58:45 +08:00
    零星特殊 IP 就先 block 掉,如果是 ddos 那没办法,最直接的办法就是花钱。
    OutOfMemoryError
        32
    OutOfMemoryError  
       2023-06-16 15:25:05 +08:00
    @Ashore 好像是另一个人
    vueli
        33
    vueli  
       2023-06-16 16:55:43 +08:00
    你是没见过腾讯的小程序的那个扫描,更 ddos 一样。有网友晒出截图。https://developers.weixin.qq.com/community/minihome/doc/0008ea401c89c02cff2d1345051001?blockType=99
    vueli
        34
    vueli  
       2023-06-16 16:56:11 +08:00
    我司也遇到过,不然都不知道这种情况
    brader
        35
    brader  
    OP
       2023-06-16 17:01:43 +08:00
    @vueli 这么恶心的,还好我不常和腾讯 API 打交道
    28Sv0ngQfIE7Yloe
        36
    28Sv0ngQfIE7Yloe  
       2023-06-16 17:26:41 +08:00
    @vueli #33

    15qps 以内我感觉还好吧,跟探针差不多
    DefineJ
        37
    DefineJ  
       2023-06-16 17:45:27 +08:00
    如果故意的,用阿里自己的 ip 攻击就太秀了
    shankun
        38
    shankun  
       2023-06-16 17:54:38 +08:00 via Android
    为了让你购买 waf
    liantian
        39
    liantian  
       2023-06-16 17:57:39 +08:00 via iPhone
    @brader

    1. 用 cdn 隐藏 ip 。让 cdn 档一档。

    2. 用 ModSecurity+nginx 这种免费的 waf 也能挡住相当多的

    3. 开发上多上点心思,接口认证什么多 review…。

    我不知道你什么 api…但是这东西如果是热门的有利益的,很容易被 dd…cc

    很多个人买 vps 就搭个梯子,看看 ssh 日志大小都能吓一跳…
    dann73580
        40
    dann73580  
       2023-06-16 20:28:40 +08:00
    话说用免费的挡一下呢,goedge 免费版这方面做的也挺好的。可以先用着。
    mytsing520
        41
    mytsing520  
       2023-06-16 22:08:21 +08:00
    从 IP 地址来看,确实不是阿里云日常自有地址范围。
    现在拿公有云来做扫描的确实很多,我这里这几年就遇到了大批量拿阿里云、腾讯云、百度云、AWS 、AWS (中国)、Azure 、Azure (中国)、华为云等的 IP 地址,部署了个扫描器就在那里一天到晚扫描的。。

    我建议 OP 到 https://report.aliyun.com 提交滥用投诉,同时在安全组里设置为黑名单,剩下的就是阿里云这边 Abuse 部门该做的事情了
    idc906
        42
    idc906  
       2023-08-10 15:05:17 +08:00 via iPhone
    这种攻击叫做 CC ,是 DDOS 攻击分类的一种,专门打的 cpu api 接口 数据库这些,如果在遇到可以联系我解决,微 idc906
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1143 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 116ms · UTC 18:24 · PVG 02:24 · LAX 10:24 · JFK 13:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.