W4ter 大佬有话说 :
关于OSS/CDN被盗刷的问题
最近看到某些MJJ的流量一直被盗刷几百G上千G的
就当是交了学费吧
“没有金刚钻,不揽瓷器活”
公网直接访问就来把链接放到loc上,如果有人想盗刷你的流量,你怎么死的都不知道。
这也不能怪CDN厂商,他们也要赚钱,毕竟从全球各个节点统计上传到中心统计,时间粒度越小,成本越大,所以在行业上基本上五分钟的统计粒度已经算是很快的了。
市面上常见的防盗链有三种
1、referer防盗链
这个无视,只放君子,不防小人
2、时间戳防盗链
意思就是,每次访问需要通过服务器(自己服务器,非CDN服务器)动态生成一个签名,访问时带上签名,当签名过期,原链接失效,必须重新请求服务器(自己服务器,非CDN服务器)
3、回源鉴权
实时防盗链,用在实时性非常高的场景,比如直播,等等。
我就拿时间戳防盗链为例。
我在某厂商配置了一个CDN 打开了时间戳防盗链
一般人可能就是 http://tcdn.gksec.com/hj.jpg
但是你会发现访问直接403,因为你没有签名
我在自己服务器部署了一个签名服务 https://s2.gksec.com/sign.php
由于我是直接写死的,所以访问sign.php 会自动签名跳转到签名地址,得到类似下面这个地址
http://tcdn.gksec.com/hj.jpg?sign=b535a43f752a70587df15d83d26a744b&t=5e9e50fa
但是你会发现,过几秒再刷新下,还是会出现403,这时候你需要再次访问sign.php动态生成。
你可能想想问,这有什么用呢?不就是多了一次跳转吗?我想刷你流量不是还是能刷嘛?
天真,MJJ你在想什么呢?
当你辛辛苦苦改好剑皇脚本兴致冲冲跑来刷我流量,这时候你会发现,多次sign.php 你的IP就会直接被BAN
要不你就用IP池来刷,看你的成本大,还是我BAN你的速度快
既然我不能控制CDN节点服务器,我就想办法控制自己服务器
所以,请开始你的表演,把我刷破产,行吗?链接如下
https://s2.gksec.com/sign.php
哦对了,顺带一提,看我签名,求DDCC,坛子里有些人叫的挺嚣张的,但过了这么久怎么连50G都打不死啊?
https://s2.gksec.com/sign.php
zimuxiaosheng 大佬有话说 :
只是大佬想不想搞你,不要觉得你技术多高
W4ter 大佬有话说 :
zimuxiaosheng 大佬有话说 : 2020-4-21 10:00
只是大佬想不想搞你,不要觉得你技术多高
过了这么久了怎么没看到大佬出现啊
zimuxiaosheng 大佬有话说 :
W4ter 大佬有话说 : 2020-4-21 10:01
过了这么久了怎么没看到大佬出现啊
嗝~我和你无冤无仇,你一没骗钱,二没挑衅,三你还是个注册会员
dalao为什么要打死你的站?
你真以为LOC的人都和小学生一样耀武扬威炫耀“技术”?