全球主机交流论坛

标题: 被mjj上了一课 R2被刷了100w+ [打印本页]

作者: radiogaga 时间: 2023-9-9 11:06
标题: 被mjj上了一课 R2被刷了100w+
本帖最后由 radiogaga 于 2023-9-9 11:14 编辑

mjj的攻击技术太牛了
我想着CF有请求速率限制另外还有默认防护功能，我就把缓存关了另外让所有的IP都通过
结果mjj用整个 /64 的网段来cc 也就是整个 2的64次方个IP地址，每个IP请求个几次都能造成上亿的请求
结果就是被137万的ipv6刷了1.3亿次请求刷了6TB流量
PS：已经关闭了CF的ipv6解析，欢迎各位大佬继续测试，发现问题及时解决，顺便看看wget正常请求有没有问题
https://useast.r2.1323123.xyz/3GB-debian11.qcow2

我复盘了下，希望能给到大家一点帮助：
1、mjj在昨晚一点发起了cc攻击，攻击者伪装google爬虫，第一轮是普通的单IP CC
攻击IP 2001:470:b42f:b45d:f84c:bf31:620d:e9c5 很快被CF速率请求拦截了
mjj应该意识到了很快就弃用了这种攻击

2、mjj应该是发现了 CF几乎不会拦截他的请求（因为我CF开的所有请求都放行中风险请求也放行）
然后就用大量IP cc攻击，伪装User agent都不弄了，就直接每个IPcc个几次

作者: 自来光 时间: 2023-9-9 11:08
地址
2001:470:b42f:b45d:f84c:bf31:620d:e9c5
ping
trace
IP 位置
瑞士苏黎世苏黎世错误提交
ASN
AS6939
ASN 所有者
Hurricane Electric LLC — he.net
企业
Hurricane Electric — he.net
经度
8.54169
纬度
47.3769
IP 地址(数字)
42540578220933432005607863662481893829

作者: 橡树叶 时间: 2023-9-9 11:08
看戏

那么有没有办法屏蔽这种请求呢？那么多源ip也不能是买的代理吧

作者: mjj天下第一 时间: 2023-9-9 11:09
哈哈，被上了一课

作者: 笑花落半世琉璃 时间: 2023-9-9 11:09
有房本怕什么

作者: bingcheng 时间: 2023-9-9 11:09
哈哈 mjj出征方圆百里寸草不生

作者: A1s2 时间: 2023-9-9 11:09
牛逼啊兄弟

作者: radiogaga 时间: 2023-9-9 11:10

橡树叶发表于 2023-9-9 11:08
看戏
那么有没有办法屏蔽这种请求呢？那么多源ip也不能是买的代理吧

他是 2001:470:b42f:b45d::1/64 这整个网段的IP进行cc
已经关闭cf的ipv6了

作者: 嘉树 时间: 2023-9-9 11:10
http://ipip.ee/2001:470:b42f:b45d:f84c:bf31:620d:e9c5

作者: 自来光 时间: 2023-9-9 11:16
先把他的ipv6举报一波啊

作者: Fightlee 时间: 2023-9-9 11:20

自来光发表于 2023-9-9 11:08
地址
2001:470:b42f:b45d:f84c:bf31:620d:e9c5
ping

这怎么感觉是he的隧道
隔壁有个套warp和he的隧道打的
会不会是那哥们

作者: jqbaobao 时间: 2023-9-9 11:20
特征太明显，很好解决
你停止解析没有用，他可以指定
除非cf控制台关闭v6但是现在好像不能关（规则倒是可以拦截v6）

作者: ccf 时间: 2023-9-9 11:34

橡树叶发表于 2023-9-9 11:08
看戏
那么有没有办法屏蔽这种请求呢？那么多源ip也不能是买的代理吧

2001:470 是 HE 的地址段，这次攻击应该是隧道过去的

作者: radiogaga 时间: 2023-9-9 12:03

自来光发表于 2023-9-9 11:16
先把他的ipv6举报一波啊

对我造成的损失不大

作者: radiogaga 时间: 2023-9-9 12:05

jqbaobao 发表于 2023-9-9 11:20
特征太明显，很好解决
你停止解析没有用，他可以指定
除非cf控制台关闭v6但是现在好像不能关（规则倒是可以 ...

因为我在安全策略加的规则全开的放行
所以他只要单IP请求速率不高 CF就会让其通过，也就造成了它这么明显的攻击还是被放行了

可以通过API关闭v6解析
我关闭了v6 并且对v6进行了拦截

作者: 88170351 时间: 2023-9-9 12:20
加一条策略吗，同段iip超过200个，自动封杀/64，很明显就是攻击的，所以嘛，

作者: zsj403919383 时间: 2023-9-9 12:21
哈哈哈哈哈

作者: bsah 时间: 2023-9-9 12:25
哈哈，我以前也被IPv6搞过，后来就禁止IPv6连接了，有些人真的是闲的蛋疼。

作者: radiogaga 时间: 2023-9-9 12:28

88170351 发表于 2023-9-9 12:20
加一条策略吗，同段iip超过200个，自动封杀/64，很明显就是攻击的，所以嘛， ...

已经通过api关闭v6的解析了 v6请求我也屏蔽了

不过cf还可以设置同段速率限制吗？
我看我免费版好像只能设置单IP的请求速率

作者: 菊花帅比 时间: 2023-9-9 13:28
这么多访问量多少钱了

作者: yrj 时间: 2023-9-9 13:42
cf:这就是要必须绑定信用卡的原因

作者: 杯具 时间: 2023-9-9 22:57
伤害不大，侮辱性极强。

作者: jason879 时间: 2023-9-10 00:17
这因该算Class B Operations $0.36 / million requests 吧？

免费10M剩下128M访问费用差不多 $46?

作者: 御坂 时间: 2023-9-10 14:31
吓得我看了下我的r2桶

作者: 秋秋0827 时间: 2023-9-10 14:40
有点儿东西，看样子以后建站还是得小心被上课

作者: lewissue 时间: 2023-9-10 14:49

自来光发表于 2023-9-9 11:16
先把他的ipv6举报一波啊

ipv6不值钱，投诉掉又怎么样

作者: sanxian 时间: 2023-9-10 15:41
提示: 作者被禁止或删除内容自动屏蔽

作者: 我的心是冰冰的 时间: 2023-9-10 16:23
标题党，我还以为你被刷了100w刀呢

欢迎光临全球主机交流论坛 (https://loc.010206.xyz/)