惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Simon Willison's Weblog
Simon Willison's Weblog
P
Privacy International News Feed
www.infosecurity-magazine.com
www.infosecurity-magazine.com
T
Troy Hunt's Blog
Hacker News - Newest:
Hacker News - Newest: "LLM"
Attack and Defense Labs
Attack and Defense Labs
S
Secure Thoughts
V2EX - 技术
V2EX - 技术
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
O
OpenAI News
Cloudbric
Cloudbric
Google Online Security Blog
Google Online Security Blog
Schneier on Security
Schneier on Security
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Help Net Security
Help Net Security
Cyberwarzone
Cyberwarzone
G
GRAHAM CLULEY
L
Lohrmann on Cybersecurity
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Spread Privacy
Spread Privacy
NISL@THU
NISL@THU
N
News and Events Feed by Topic
T
Tenable Blog
S
Security @ Cisco Blogs
N
News and Events Feed by Topic
The Hacker News
The Hacker News
C
CXSECURITY Database RSS Feed - CXSecurity.com
宝玉的分享
宝玉的分享
月光博客
月光博客
酷 壳 – CoolShell
酷 壳 – CoolShell
美团技术团队
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Google DeepMind News
Google DeepMind News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
Tailwind CSS Blog
V
Visual Studio Blog
P
Proofpoint News Feed
Webroot Blog
Webroot Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
博客园 - 三生石上(FineUI控件)
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Jina AI
Jina AI
雷峰网
雷峰网
T
The Blog of Author Tim Ferriss
Hugging Face - Blog
Hugging Face - Blog
腾讯CDC
L
LangChain Blog
The Register - Security
The Register - Security
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
博客园 - 聂微东

两双筷子

Seven Player:Windows上播放115网盘视频的增强工具 多用户 PassKey 认证插件 博客五年 1Panel 部署 FastAdmin 管理端访问 302 解决方案 解析到本地127的神奇域名 Typecho 多吉云上传插件 极简 Docker 入门笔记 SQLite + zstd:定时任务日志压缩优化实践 离线授权码设计思路 海南环岛2:中线+东线 Typecho 垃圾评论过滤插件
CDN 盗刷也是被我遇上了
两双筷子 · 2026-05-31 · via 两双筷子

心存侥幸

“CDN 被盗刷”的故事,网上隔三差五就能看到——一晚上甚至几分钟,几千几万块就没了。
听多了,难免会想:“我一个博客,日访问量破百都难,谁盯得上我?”

结果今年 3 月,短短 5 分钟,我的 CDN 被恶意刷掉 1.55 TB 流量 + 661 万次 HTTPS 请求

说来也巧,去年开发 多吉云上传插件 时,我其实已经做过了时间戳防盗链功能。
但当时头像也放在 CDN 上,如果开了防盗链,别人博客上的头像就会裂开(就像下图这样)。于是线上测试没问题后,我果断……关掉了这个功能。

6a1bfca684722.png

事发

3 月 12 日下午,手机突然收到多吉云的短信提醒:

6a1bfcb9da839.png

赶紧登录控制台一看:1.55 TB 流量
好在之前设了风控规则,被刷 5 分钟后 CDN 服务自动暂停——要不是这个“封顶”,损失还会大得多。

6a1bfccaa1ba2.png

处理

1. 封禁 IP 段
在后台查到攻击 IP 全是境外地址:美国、日本、韩国、新加坡等。
用 AI 整理后,在多吉云的访问控制策略里,把这些 IP 段一次性封禁。

2. 重新开启 URL 鉴权(时间戳防盗链)
之前关掉的防盗链功能,这次老老实实开了回来。
如果当初没关,这次事件大概率可以避免——当然,也就少了这趟“宝贵的教训”。

3. 设定风控策略
结合博客正常的访问量、资源大小和数量,重新设置了:

  • 每秒 QPS / IP 限制
  • 每小时封顶流量
  • 盗刷时携带的特定 UA 直接限制

后续

算了一下,这次在多吉云的实际损失大约 193 元

多吉云(按量计费)

  • 流量:1.55 TB = 1587.2 GB × 0.11 元/GB = 174.59 元
  • 请求:(660.54 万 - 200 万) = 460.54 万次 × 0.04 元/万次 = 18.42 元
  • 合计:193.01 元

我又好奇算了一下:如果去年没换到多吉云,还在用又拍云(而且同样没开防盗链),会是什么代价?

又拍云(按量计费)

  • 流量:1.55 TB = 1587.2 GB × 0.29 元/GB = 460.29 元
  • 请求:660.54 万次 × 0.05 元/万次 = 33.03 元
  • 合计:493.32 元

多吉云可以买流量包和 HTTPS 包抵扣,最后实际只付了 179 元左右,比又拍云便宜了 300 多。

6a1bfce47f112.png

一点感悟

老话说得好:人教人,教不会;事教人,一次就够了。

无论是运维还是开发,安全这件事,永远不能心存侥幸
所谓的“事前防御”,不是摆设,而是你真正被刷了一次之后,才明白它是多么值钱的东西。

尽量做到:事故之前,防患于未然;事故之后,不留下一次机会。