本站不会被 DDoS 击垮，永远

2024 年 9 月 16 日 21 时起，本站遭遇了大规模的 DDoS 攻击（分布式拒绝服务攻击，Distributed Denial-of-Service Attack）。截至发稿时，攻击仍在持续。本次攻击已导致 aiccrop.com 的境内 CDN 账单异常，境外两个缓存节点离线，网站在数小时内无法访问，整体可用性下降。尽管我们迅速切换了线路，但攻击者迅速调整策略，将攻击目标转移至新的节点，表现出蓄意且持续的攻击手段。

第一波攻击：CDN 盗刷

16 日深夜，本站突然收到了阿里云的欠费短信，经过查明发现是 CDN 短时间内大量访问，产生了高额账单。本站第一时间关停了 CDN 节点并切换线路。尽管如此，由于账单存在延时，期间有 3 小时左右仍然被计费。

本站第一时间并没有怀疑是恶意攻击，而是认为可能被 PCDN 团伙均衡上传下载量，恶意刷量¹，友站之前就曾经遭遇过。但在查看境外 CDN 的日志后，又有些怀疑。本站当时境内接入的是阿里云 CDN，境外通过 Cloudflare for SAAS 接入 Cloudflare。2024 年 9 月 16 日 21 时，Cloudflare 请求流量瞬间达到了 346GB，照理说如果是境内刷量，应该跑不到境外的节点上。

阿里云 CDN 的日志存在相当大的延迟，因此本站无法第一时间获取刷量的 IP。忙活了一会时间已经到 3 点了，于是就先把线路切到 HK 轻量服务器上，剩下的早上起来查日志。

流量来自境外

早上，阿里云工单反馈了日志结果，果不其然：

---

查看访问信息下面三个资源被异常访问造成
https://aiccrop.com/ 2235.18 万 40.6868% 15.78 GB 38.4208%
https://aiccrop.com/wp-content/uploads/2024/02/1706780985-9fa1b9f8de63f7ef640975335dbd142c.jpg 1721.02 万 31.3277% 13.33 GB 32.4594%
https://aiccrop.com/wp-content/uploads/2024/03/4e9fe8622cbc7d6c6e84.jpg 1530.56 万 27.8606% 11.53 GB 28.0692%

75.95.252.62｜251.20.139.1｜1.179.251.163 访问比较多，看着是来自境外的攻击

---

第二波攻击：自建节点黑洞

在 17 日下午，UptimeRobot 接连报告了香港、东京的两个节点离线。查看阿里云、V.PS 后得到如下反馈：

---

【阿里云】尊敬的：您的IP:47.＊.＊.＊ 受到攻击，攻击流量已超过DDoS基础防护的黑洞阈值，服务器的所有公网访问已被屏蔽，屏蔽时长1440分钟，屏蔽时间内未再次被攻击将自动解除否则会延期解除。详情请登录流量安全控制台-事件中心查看。

We noticed that your service is under UDP flooding attack, our security system blocked all the traffic to your server for security reason.
Following is the sample of the attack:
2024-09-17 10:31:42.000000 167.179.251.158:65184 > 185.200.64.193:3389 protocol: udp frag: 0 packets: 14 size: 1288 bytes ip size: 1288 bytes ttl: 0 sample ratio: 1000
2024-09-17 10:31:42.000000 183.80.125.56:41761 > 185.200.64.193:3389 protocol: udp frag: 0 packets: 214 size: 19688 bytes ip size: 19688 bytes ttl: 0 sample ratio: 1000
2024-09-17 10:31:41.000000 60.9.123.185:15347 > 185.200.64.193:3389 protocol: udp frag: 0 packets: 170 size: 15640 bytes ip size: 15640 bytes ttl: 0 sample ratio: 1000

---

攻击长达两天之久，根据阿里云的通告，HK 轻量应用服务器遭受了超过 10.483Gbps 的攻击流量。本站只能另谋出路，不再依靠节点代理。

转机：启用 CF Argo Tunnel

面对凶猛的 DDoS 攻击，本站不会低头。通过将源服务器接入 Cloudflare Argo Tunnel²，本站继续提供网站服务。

同时，本站调整了安全等级，并在必要时启用 Under Attack 模式。

坚持：本站不会被击垮

通过不断努力和 Cloudflare 的服务，本站已经恢复在线，并将可用性影响降至最低。

DDoS 是一场持久战。本站已经做好准备，随时面对再度来袭的攻击。我们永远不会向违法分子低头。

1. 从山西联通到组播IP：七牛云的奇怪视角（附分析和后日谈） – 翰林的小站 (hanlin.press) ↩︎
2. Cloudflare Tunnel 保护您的 web 服务器免受直接攻击 ↩︎