前言

因最近进行过站点数据迁移，改变部署方式，所以比较关注站点情况。发现站点从8点20开始持续两小时到10点20左右，短时间内涌入同ip大量异常访问，疑似为cc攻击。在此之前5月23日也发生过相同情况，于是我将cdn的访问限制的更加严格。也不知道具体原因我的站点被没有在任何地方宣传过，也就和友联的各位相互访问留留言而已，不知CC的这位是出于何种目的？还是说来炫耀技术的？技术不是违法行为的工具，违法行为还是少做的好，说不定哪天就......

情况分析

• 将本次日志拉取到本地，统计了下数据，将异常访问ip添加到cdn黑名单。下面统计的8点20到9点之前半小时左右的访问情况，可见ip2a09:bac5:15bb:1973::289:a4半小时左右进行了1W多次请求，查询了下该IP属于Cloudflare。
  
• 据cdn统计的数据来看，大量请求因达到QPS以及带宽峰值限制，均返回404/5xx，可能受之前设置的限制原因，本次被CC耗费的流量只有几百M。

回顾2023.05.23

回顾上一次（5月23日凌晨2点），10多分钟内涌入了50万次请求，耗费10G流量。可见腾讯CDN的流量统计延迟是真的高，流量超过上限的50倍才自动关闭。

• 最大带宽峰值312Mbps

• 流量情况，不同的是上一次只请求一个js文件，这一次的访问文件比较分散

• 大量的请求数都来同一个文件

• ip日志访问统计情况（20分钟内），可见攻击的前两个IPV6在10分钟左右进行了51万次左右的请求。根据ip信息来看这3个ip均归属于Linode