最近，大批博主、公司網(wǎng)站同時遭遇惡意盜刷流量，少的被薅走幾十、幾百塊錢的流量費，多的上萬都有，直接被刷到欠費。本人公司的小網(wǎng)站也毫不例外地進(jìn)入了盜刷射程范圍之內(nèi)……7月6號晚上7點左右，我正在某網(wǎng)紅餐廳門口排隊，突然收到CDN服務(wù)商的報警短信，幾分鐘后客服小哥的電話直接打了過來，說我公司網(wǎng)站被盜刷了，建議封禁指定IP，我一看截圖，帶寬直接原地起飛。按這么刷，這個月得虧出十幾個w，趕緊讓客服給封了。后來幾天又反復(fù)出現(xiàn)了幾次，還都是差不多的時間點，我直接讓客服發(fā)現(xiàn)盜刷后直接封，通知我一聲就行。整體影響算是被控制住了。

作為互聯(lián)網(wǎng)相關(guān)從業(yè)者+（及時止了損但仍心有余悸的）受害者，我講講這里面的門道吧。

一、為什么當(dāng)前盜刷頻發(fā)?

歸結(jié)起來就是兩個因素，PCDN 和省間結(jié)算。

1、“上有政策、下有對策”的PCDN

PCDN是利用家庭帶寬，提供內(nèi)容下載加速的一種技術(shù)。什么是家庭帶寬?就是你在學(xué)校宿舍或者家里辦理的帶寬。當(dāng)你在家里下載電影時，數(shù)據(jù)是從外部流向你的家里，我們把這個方向的流量叫作下行流量。相反，你向外發(fā)送一個大文件，數(shù)據(jù)是從你的家里流向外部，這個方向的流量叫作上行流量。正常來講，我們下載文件比發(fā)送文件多，所以下行流量也應(yīng)該比上行流量多。

PCDN利用了家庭帶寬的上行流量，向外發(fā)送文件，給外部應(yīng)用提供傳輸服務(wù)。這個時候，就會發(fā)生上行帶寬遠(yuǎn)超下行帶寬的情況。如果你發(fā)現(xiàn)你家上行帶寬特別高，那么恭喜你，你可能被人薅羊毛了。

運營商（電信、移動、聯(lián)通）是明令禁止PCDN技術(shù)的，如果運營商發(fā)現(xiàn)家庭帶寬的上行流量占比過大，就會識別為PCDN并進(jìn)行查封。為了逃避監(jiān)管，PCDN需要提升下行流量的占比，于是瘋狂地從外部下載文件——這就是盜刷的來源之一!如果你發(fā)現(xiàn)自己的博客網(wǎng)站被人瘋狂下載文件，很有可能就是被PCDN拉下行了。

2、“搶蛋糕”的省間結(jié)算

省間結(jié)算是三大運營商近期發(fā)布的政策。簡單概況就是，如果客戶端與服務(wù)端位于不同省份，那么服務(wù)端所在省份，要給客戶端所在省份，支付一定的流量結(jié)算費用。舉個例子，你人在浙江省，用手機下載了一個文件，而文件下載來源是在山西省的一臺服務(wù)器，那么浙江省就可以向山西省要錢——“你搶了我的客戶!”

這個政策本意是為了優(yōu)化各個省份運營商的利益分配。但有些地市運營商動了歪心思，既然客戶端省份可以向服務(wù)端省份收錢，那么我冒充客戶端，向外省下載文件，豈不是可以坐著收錢了?這就是盜刷的第二大來源!

二、盜刷的特征

如果你的平臺或者網(wǎng)站，突發(fā)了大量的下載請求，帶寬陡增，但你又沒做什么推廣活動，那么很又可能就是被盜刷了。盜刷有幾個比較明顯的特征:

1、盜刷主要下載大文件:盜刷的目的是PCDN拉下行，或者跨省結(jié)算，所以會拉取內(nèi)容較大的文件，才能將流量刷上去;

2、客戶端IP網(wǎng)段相對集中:盜刷不像CC或者DDoS那么有攻擊性，盜刷來源的分布比較集中，所以客戶端IP網(wǎng)段會相對集中;

3、請求的文件比較固定:如果一個客戶端反復(fù)下載同一個文件，大概率存在異常;

4、有比較明顯的標(biāo)識:盜刷是模擬的客戶端，但和正常的客戶端還是有些微差異的，你可以看看UA、Referer、IP有沒有比較固定。

三、如何防止盜刷

如果你能夠識別到上述的特征，那可以根據(jù)對應(yīng)特征來進(jìn)行封禁，拒絕訪問。如果你提供的是Web服務(wù)，你可以輸出訪問日志，我推薦日志中記錄以下關(guān)鍵字段:

客戶端IP

UA （HTTP請求頭User-Agent）

Referer（HTTP請求頭）

URL

被下載的文件大小

下載時間

這些信息足夠你分析出盜刷的特征了。當(dāng)你的網(wǎng)站出現(xiàn)異常突增流量時，按這些特征進(jìn)行統(tǒng)計，比如10分鐘內(nèi)，你的90%流量消耗都集中在幾個IP上，那基本就是盜刷行為。

除了通過日志分析，還可以做一些提前防御，比如配置時間戳防盜鏈，具體原理就不解釋了，大家可以網(wǎng)上搜，大概的作用就是給你的下載鏈接加一個有效期，超過有效期訪問鏈接就會失效，這可以阻擋一部分盜刷。還可以配置Referer白名單，只有你指定的Referer才能訪問你的資源。

現(xiàn)在盜刷逐漸產(chǎn)業(yè)化，你去某寶某魚搜拉下行，會有一堆接單的，真是什么錢都能賺。很多平臺和網(wǎng)站不具備足夠的技術(shù)能力來對抗盜刷，需要投入的精力很大。而且即使你成功封禁了一兩次，盜刷又會更新特征，來繞過你的防護策略，野火燒不盡。我們目前在用的是白山云的CDN，產(chǎn)品和服務(wù)都還可以，這次及時發(fā)現(xiàn)并封禁止損也是多虧了他們。建議大家有防盜刷需求的，也可以多了解、求助下這些CDN和安全領(lǐng)域的專業(yè)服務(wù)商，看看他們能否為你提供一些防護策略。最后就是想再提醒下大家，吃一塹長一智，這個年頭賺錢不易，大家得多加小心，嚴(yán)防惡意盜刷流量，拒絕薅羊毛，保衛(wèi)錢袋子!

（推廣）