欺人太甚，山西联通IP还在继续盗刷CDN

2024.8.2 8:50 更新：

投诉工信部有用。

昨晚没有受到山西联通 IP 的攻击，而且也 Ping 不通这几个 IP，应该是被联通封了。但是联通联系我的时候问我要了被攻击的 CDN 域名，对此我有个阴谋论的猜测：这个事情影响广泛，联通不可能不知情，会不会他们默许这个行为，甚至本身就利益相关？

如果你的 CDN 还在被盗刷，可以通过日志确认IP，统计访问次数，然后去工信部投诉：用户申诉，比直接找运营商更有用。

2024.8.1 16:10 更新：

上午通过工信部网站投诉，大概1小时后接到山西临汾联通的回访电话，下午4点联通再次联系，反馈称后台已经屏蔽投诉的 IP。

我会继续观察，如有情况再更新。

这年头，写个人博客算是用爱发电了，没曾想，还要被人攻击薅羊毛。

以“山西联通 CDN”为关键字 Google 一下，首页都是痛诉被盗刷 CDN 的博文，可见攻击者采取的是无差别攻击，并非针对某一个人。

我的博客应该是第一批遭殃的，在开通 WAF 之前，CDN 流量包被一夜之间刷光，还倒欠阿里云账单，导致服务器停机。这个情况我在之前的博文中有记录：CDN 被人恶意刷流量，让本不富裕的我雪上加霜。

本以为被 WAF 拦截后，攻击者会放弃或者寻找其他目标，没想到攻击成本竟如此之低，即使被 WAF 拦截也没有停止攻击。而我，还在为他们的攻击买单。

WAF 不是免费的，每次攻击都会消耗 SeCU 数量。同时，为了观测和预防，我不得不开通日志功能，因此又多了一份支出。攻击量越大，WAF 和日志的成本就越高。

每次攻击集中在晚上7点到12点之间，这是近7天的统计数据：

WAF 是在第一波攻击高峰后开通的，第二天攻击量锐减，然而第三天他又卷土重来。其后攻击量虽没有那么夸张了，但每天一到时间就雷打不动地出现。

正如 CDN 被人恶意刷流量，让本不富裕的我雪上加霜 一文中说的，由于遭殃的人实在太多，有些 CDN 提供商已经意识到问题，并收集发起攻击的 IP 段，在其通告中更新。我看到之后第一时间在 WAF 的 IP 黑名单中添加了 IP 段，事实也证明，发起攻击的始终是那一拨人。

盗刷 CDN 流量的就是上图排前 3 的山西联通 IP，攻击次数为个位数的则是其他地区的 IP。

WAF 的规则命中情况也再次证实，就算攻击者 IP 已经在黑名单里，他们的访问会被拦截的情况下，依然继续发起攻击。

拜攻击者所赐，我的一个 CDN 流量包提前被刷光，之后为了避免高额费用，只能再买一个流量包顶着。幸好开通 WAF 之后请求基本被拦截，否则新的流量包估计也很快要耗光。

流量包得到幸免，负责阻挡攻击的 WAF 资源包则迅速消耗，1000 SeCU 所剩无几。当它被用光后，阻挡攻击的结果会实实在在反映在我的账单里。

阿里云安排了售前和我对接，针对 CDN 被盗刷的情况赠送代金券。为了避免更大的损失，我当然要继续购买 WAF 资源包来防护。

虽然相比一些商业实体被攻击的情况，我遭到的损失不算大，但我的权益已经受到了损害，不可能坐以待毙，继续忍受别人的攻击。

难办的是，就算我知道攻击者的 IP，我也无法反过来攻击它。我能做的，只有求助拥有公权力、强制力的组织。

网上那么多人反映这个问题，而且攻击源集中在部分 IP 段，难道联通它不知道？这是运营商失察，也是运营商的不作为，因此我只得 向工信部投诉 。

投诉提交后，联通很快就派人联系我了解情况，对方表示会反馈并核查情况，后续再联系我。

自查自纠从来不是一件容易的事情，我会稍稍等待，如果攻击依然继续，而联通无法提供解决方案，我会继续投诉。

人不是生来就要让别人欺负的。我是一个小小的博主，深知要阻挡有组织有规模的攻击会很困难，所以与其被动防御，不如主动反击。如果你也是被攻击的站长博主，请你也采取行动，不要再默默当一名受害者。我们每个人的力量很小，只有团结反抗才能保护自己。