摘要：徐小夕【知乎专栏作家】掘金签约作者，定期分享AI创业，可视化，企业实战项目知识，深度复盘企业中经常遇到的500+技术问题解决方案。【关注趣谈前端，技术路上不迷茫】

hi, 大家好, 我是徐小夕.

徐小夕【知乎专栏作家】掘金签约作者，定期分享AI创业，可视化，企业实战项目知识，深度复盘企业中经常遇到的500+技术问题解决方案。【关注趣谈前端，技术路上不迷茫】

之所以要写这篇文章，是因为这两天我们的网站流量被刷爆了！

当然不是因为用户量的激增导致的正向流量上升，而是因为某些非法用户在恶意刷我们网站的CDN流量，导致我们网站无法正常运行。

Part 1

事情的起因

昨天晚上11点左右，我们小伙伴在访问 H5-Dooring 零代码平台的时候，发现网站挂了，无法访问了，紧接着腾讯云CDN续费的短信铺满了我的手机。

于是我们立马检查了云服务器控制台，发现了惊人的流量消耗：

cdn资源竟然短短2天被请求了几十万次，每天流量消耗接近50G：

最终的结果就是Dooring平台依赖的cdn资源因为额度费用不足，无法访问了，更可恶的是，我们之前为了优化网站性能，把核心js插件也托管到cdn了，导致由于cdn无法访问，整个网站“瘫痪了”。

还好我们发现的及时，及时对CDN充了费用，并把恶意访问的用户IP封了：

同时为了提高网站稳定性，我们把核心js放到了服务器本地管理。

目前网站已恢复正常，大家可以正常使用。

Part 2

网站CDN安全的反思

这次危机之后，让我更加注重网站安全问题了，尤其是CDN安全。

如果对云服务的CDN没有足够多的安全管控的理解和经验，还是不建议把核心资源放在CDN上，也就是不要太过依赖CDN。

这次事件之后，我也研究并查找了大量的资料，学习安全防控相关的经验，这里和大家分享总结一下，如果你也有类似的情况，也可作为参考交流。

大家在使用云服务厂商提供的CDN时，建议立即执行以下三步应急方案：
① 检查CDN控制台「防盗链」配置是否开启
② 分析访问日志提取恶意IP特征（UserAgent集中在Headless Chrome/Fakebot）
③ 启用「流量整形」功能限制单IP请求频率

此类攻击已形成完整地下产业链（从IP代理服务到自动化攻击工具包），建议建立持续监控机制而非一次性修补。

Part 3

网站CDN资源为什么会被盗刷

CDN资源被恶意刷流量（也称“资源盗刷”或“流量攻击”）是一种针对网站主的新型攻击方式，其危害和攻击者动机我总结了以下几点，供大家参考：

Part 4

CDN流量攻击的8种形式

接下来分享一下目前常见的8层CDN流量攻击方式，以帮助大家在设计稳健系统时有一个更全面的技术考量。

攻击者通过伪造HTTP请求头或特定参数，向CDN节点注入恶意内容。例如，篡改JS文件植入挖矿脚本，当用户访问时，CDN会将感染后的资源分发给所有用户。这种攻击的隐蔽性在于，恶意内容会被CDN长期缓存，形成持续性危害。
案例：电商网站的促销页面被植入赌博广告链接，用户点击后跳转至黑产页面，导致品牌声誉受损。

传统IP封禁策略在此类攻击前完全失效。攻击者使用动态代理IP池，每秒切换数千个IP地址，模拟全球分布的真实用户。更危险的是，部分黑产通过运营商内部漏洞获取IP资源（如山西联通IP段的大规模无差别刷量事件），使得IP来源看似“合法”。

利用HTTPS加密特性，攻击者将恶意请求隐藏在加密流量中。CDN服务商若未部署TLS指纹识别技术，则无法检测请求内容是否异常。例如，视频平台遭遇的HTTPS协议下的大规模资源盗刷，攻击流量与正常用户请求在加密层完全一致。

高级Bot工具可模拟人类点击行为：随机滑动页面、间隔点击、甚至模拟不同设备的浏览器指纹。腾讯云曾监测到某次攻击中，Bot流量在鼠标移动轨迹、页面停留时间等维度与真人用户相似度达97%。

通过篡改DNS解析记录，将CDN域名指向恶意节点。2024年某知名CDN服务商遭遇的供应链攻击事件中，黑客入侵其DNS管理系统，将部分客户域名解析至伪装节点，导致用户数据被窃取。

攻击者通过PCDN（P2P内容分发网络）产业进行双向套利：一方面消耗目标网站CDN流量推高其成本，另一方面利用盗刷的流量完成PCDN平台的任务，获取分成收益。这种模式在山西联通IP段攻击事件中被首次曝光。

与传统DDoS的暴力攻击不同，慢速攻击通过低速率（如每秒1次）但长期持续的请求消耗资源。某云服务商曾记录到持续30天的慢速攻击，单IP日均请求仅800次，但数万个IP叠加后导致CDN边缘节点瘫痪。

针对使用CDN加速的API接口，攻击者通过分析接口参数规律，构造海量“合法”请求。例如某金融平台的风控API被恶意调用，导致每日额外产生2TB流量和数百万元账单，而常规WAF规则无法识别此类请求。

Part 5

文章的最后

来源：趣谈前端