V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
laqow
V2EX  ›  站长

腾讯云轻应用服务器上遇到这种攻击属于重放攻击吗?可以怎样堵住攻击?

  •  
  •   laqow · 2023-06-05 19:54:20 +08:00 · 1473 次点击
    这是一个创建于 562 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一直拿腾讯云轻应用服务器当 frp 用,最近想着分享一些文件给别人,开了个 nginx 服务器上传了一些静态文件让人临时下载一下。开 accesslog 看了一下,发现有时会有些来自腾讯云自己服务器在访问这些文件。一般正常人都是一批文件一起下载的,accesslog 里面看到是连续相同的 IP 在访问,但来自腾讯云的访问是单独的且一个 IP 只访问一个文件,不带重复的。我的文件名都是 20 位随机字符,而且没开目录 index ,感觉一次命中路径基本不可能。我的 frp 等对外服务都是开在各自 docker 里面,不太像 host 被挂马,挂马感觉也完全不需要再走 nginx 访问一遍下载。

    想了一下会不会有可能是请求被子网内其他主机监听然后重放?症状是下面这样的:

    A 型攻击的日志
    114.132.203.161 - - [05/Jun/2023:11:46:32 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 5601404 "http://xxx/download/play.html" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36" "-"
    106.55.201.95 - - [05/Jun/2023:11:46:38 +0800] "GET /download/abcdefghij.jpg HTTP/1.1" 200 6505301 "-" "-" "-"
    

    它先拿 114.132.203.161 这个重放了 play.html 的请求,没把文件下载完,然后换了个 IP 重新下载了文件。它这个 UA 看着像哪个 headless browser 的。

    B 型攻击的日志
    我的 IP - - [05/Jun/2023:18:35:58 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"
    220.196.160.96 - - [05/Jun/2023:18:46:02 +0800] "GET /download/cdefghijk.jpg HTTP/1.1" 200 0 "-" "curl/7.74.0" "-"
    

    我开始以为是爬虫爬的,设了 referer 和 UA 的过滤,然后想着拿 curl 试一下,结果隔了几分钟有另外一个 IP 照着我的请求来了一次。

    所以这种是腾讯云的问题吗?还有什么办法发现攻击源以及防止攻击?

    5 条回复    2023-06-06 11:40:42 +08:00
    sduoduo233
        1
    sduoduo233  
       2023-06-05 20:04:13 +08:00
    最简单的方法就是把整个 ip 段屏蔽
    laqow
        2
    laqow  
    OP
       2023-06-05 20:14:25 +08:00
    感觉看起来很像是了 https://www.v2ex.com/t/934289 https://www.v2ex.com/t/860476 。如果只是应对在服务器对有限人群分享静态文件这种有没有比较简单的办法应对这种问题?比如给 nginx 加个设置能自己在头里加时间戳的?
    giaodadi
        3
    giaodadi  
       2023-06-05 23:30:33 +08:00
    开了 https 吗
    IvanLi127
        4
    IvanLi127  
       2023-06-05 23:38:41 +08:00 via Android
    联系腾讯云看看呗,难得有客服,不找白不找🤣
    laqow
        5
    laqow  
    OP
       2023-06-06 11:40:42 +08:00
    @giaodadi 没开草率了,之前没想明白,不敢绑国外域名到腾讯云,想着买腾讯的域名还要交一笔钱卖一波身份,想着每次就开个 http 一两天的事情。

    它这个反应速度比想象中快多了,应该就是邻居抓的包,不加密的话应该直接抓包就能获得所有经过的数据。是不是它那个“内网互联”不仅限于同一帐号下的机器,实际上所有机器都是互联的?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1016 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 21:23 · PVG 05:23 · LAX 13:23 · JFK 16:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.