记一次网络攻击

      本文引用了大量白色为底的图片，建议在右下角切换为暗色模式浏览

      发生这件事情之前，我一直觉得大型网络攻击离我很远，似乎只是出现在影视作品、新闻里的东西

事件全貌

      长期以来，我博客所有文件都放在又拍云上
     
      又拍云对于开发者有一个优惠政策，即在网站下方放上又拍云的图标和链接，通过申请之后就能获得一个静态存储、CDN的代金券，总价值67元详情
     

什么是CDN？
CDN 全称 Content Delivery Network，即为内容分发网络。简单来说，CDN 会把网站上的图片、视频、文件等所有静态资源，缓存到全球各地的边缘节点，大大减小数据传输的物理距离，加快访问

     
      由于博客基于hexo纯静态框架，又拍云的静态存储又能提供解析，所以我便直接将其当作一个静态服务器
     
      把所有静态文件放上去，再通过腾讯云解析到我的域名2am.top，这就是过去6年间我博客的运作方式
     
      简单，高效
     
      同时也有很大的风险
     
      其实很早的时候我就想过，要是有人恶意访问，大量下载我的静态文件怎么办？我的流量岂不是一下就没了？
     
      于是我便去网上搜相关的内容，结论就是：除了限制IP、花钱买高防的CDN服务外，对于这种裸奔式的CDN，并没有很好的防御机制
     
      “那就这样吧”
     
      “反正我的博客访问量也小的要命，完全就不是有价值的攻击目标”
     
      “谁会没事攻击一个什么都没有、没人在意的个人博客呢？”
     
      很不幸的是，在我不知道的的时候，我的博客在某些地方由于某种原因，有了一些知名度，我想是因为我的Hexohub项目
     
     2026年6月4日上午10点10分，我收到一个又拍云发来的邮件，说我的账户欠费43块（由于计费周期的原因，实际上远不止43块）

     
     我马上意识到CDN被人恶意流量攻击了，因为按照正常流量的话，一年下来我博客的开销才20块左右：

     
     记得当时正在处理毕设的东西，忙的要命，下午才打开的控制面版，看见了这次CDN洪水式攻击的全过程：
     
     攻击从2026年6月日0点开始，持续10个小时。前两个小时不知道为什么，攻击的带宽并不高（相较峰值带宽而言），感觉有可能是攻击者在调试工具？或者是攻击程序还在适应阶段

     攻击的方式是反复下载我静态存储里面的图片文件，把我的静态图片每一个都下载了10000多遍：
     

     
     最终的攻击结果：CDN总流量360G，请求次数160万，账户总消费200元

为什么

     说实话，我居然没有任何感觉
     
     生气？不解？
     
     都没有，我麻木的像具尸体。无非就是发生了一些意料之中的事情，我现在要去处理而已
     
     我开始思考为什么我成为了这次攻击的目标
     
     我一直觉得自己算是一个“网络边缘人”
     
     少上网，少发言，少评论
     
     现在看来我做的还不够，我已经在不知不觉中成为了一些人的目标
     

藏好自己，做好清理 ——《三体-死神永生》

     
     攻击者的IP来自江苏，我在江苏有仇人吗？我好像都还没去过那个地方
     
     IP说明不了任何问题，哪个黑客会蠢到用自己的IP作为攻击源
     
     可能只是无意间扫描到我的CDN罢了，可能只是一次毫无意义的、攻击着玩的罢了，可能只是单纯看我之前写的东西不爽罢了……
     
     我的一个朋友说我的CDN可能是被拿来当测速节点了，我觉得很有道理
     
     攻击者的目的是什么，我不知道，也不重要
     

疑惑

     CDN被攻击后不久，我发现一个很大的问题
     
     早在攻击的1个月前，为了应对阿里云的备案审查，我把博客解析到了同学的服务器上（说是两天，后来给忘了，一直用着他的服务器），也就是说，无论访问网站的任何资源，都应该被定向到阿里云的服务器上：

     
     攻击开始的时候，我的域名并没有解析到又拍云，我的CDN应该没有任何地址暴露在外面，攻击者又是怎么访问到我CDN里的资源的
     
     想到几种可能：
     
     1      攻击者通过某种方式获得到了文件的单独访问链接，例如 xxx.b0.upaiyun.com/example.jpg，由于我没有配置防盗链，这些链接可能还处于可访问的状态（但理论上来说，就算没有防盗链，也应该不能访问才对）
     
     2      攻击者用技术手段获取到了又拍云CDN的边缘节点IP，然后在HTTP请求中伪造了 Host 头为原来的加速域名，将请求直接发送到CDN节点IP上。CDN根据 Host 头正常提供服务并计费，从而完全绕过了域名解析环节
     
     

后记

     我本科的专业是信息对抗技术，哈哈，太他妈讽刺了
     
     一个信息对抗（甚至还是网络安全方向）的学生，被黑客攻击了
     
     不知道别人会怎么想，但是一个学网络安全的人被攻击了，我觉得是一件很反差、很戏剧性的事情
     
     再见了，又拍云！作为一个我在互联网曾经的一个小小的、生活了6年的家，现在已经证实了是一个非常不安全的地方（我并不觉得配置防盗链、IP名单能带来什么实质性的安全保障）
     
     目前本网站还寄生在我同学的服务器上，迟点可能会迁移到腾讯云的One edge，总之免费的才是最安全的：）
     

黑客你好

     既然黑客（以下统称“你”）选择我的网站作为目标，想必你也能看见这篇文章
     
     无论你的目的是什么，显然它已经达成了，恭喜恭喜
     
     真的
     
     至于我，损失的钱可有可无，我想我从中收获了别的东西
     
     我现在可以更加确定，我是站在善良的一方
     
     我也很高兴从你的行为里得知，我的网站似乎还有一定的知名度
     
     我从中了解到，自己的网安知识还有很多要学
     
     但是这件事情并没有摧毁的一个事实是，我依旧还会选择相信别人
     
     天真？幼稚？
     
     如果真是这样，我希望自己一直这样

附录

     附一个又拍云的工单系统（没解决啥实际东西）：

网络安全杂谈

     插一个关于网络安全的题外话，2025年十月份的时候，我跟我同学互相攻击对方的服务器
     
     当然了，都是在对方之情并且同意的情况下，打着玩的
     
     没想到现在真的到我了
     
两小儿服务器互打：