这两天发生了一件震惊IT圈的大事，很多程序员和博主的网站同时被恶意攻击，大量流量费被盗用。自然，我这个老倒霉蛋也被攻击了。作为受害者，特意做了这篇分享，希望其他有网站的朋友要小心。

那么，为什么我们会同时受到攻击？这次攻击给我们造成了多大的损失？为什么我要让其他朋友也小心谨慎？我们如何才能防止流量被垃圾邮件攻击？

这件事没那么简单，我来告诉你吧。

悲伤的故事

一开始是看到一个朋友发的文章说自己被狗咬了，点进去一看才知道，网站被攻击了，的流量被盗走，还浪费了100元流量费。

看到这个，我才发现原来它这么熟悉！我想你们很多人都还记得我被网络攻击折磨的痛苦经历。

于是，我向他分享了一篇我以前写的关于预防袭击的经历的文章，以表达我的关心。

我以为只有他一个人被针对，结果发现事情比这更复杂，小林还发了一篇文章，说自己被狗咬了，我点进去一看，原来他也被针对了，被盗了600G的数据，大约70元。

奇怪，怎么会是600G?看到这里，我已经有了一种不祥的预感，意识到了事情的严重性。

慌，慌，我开始慌了，于是我赶紧检查了我的CDN服务。

WTF！WTF！WTF！WTF！我也被刷了！总共500G左右！

我为什么还要安慰别人？这很痛苦。太痛苦了！

经过分析，我发现我和其他博主刷CDN流量的客户主要都是山西地区，而且我们流量被刷的现象一模一样：

显然，我们被同一群人盯上了。但奇怪的是，他们并不是全天增加流量，而是每天几个小时后就停止了。

不是吧，我怎么还是有点感动呢。

我原本还以为我们程序员是不是偷了别人的蛋糕？我们被攻击了。但是后来发生的事情让我意识到事情没那么简单。有高手吗？

发生了什么事？有读者反映，他突然无法访问我们的编程导航网站，但是其他网站可以正常访问。

因为这个网站接入了某公司高防CDN，所以我检查了后台，发现用户的IP没有被封？

然后我就问了CDN的技术人员，他说“山西太原？那就先封了……”

我：？？？

小伙接着说：“最近山西各地都在发生攻击，腾讯也被攻击了，都是跟家庭带宽有关的IP，腾讯云建议我们把整个大段路由都封掉。”

山西，等一下，我突然想到一个问题，被刷CDN流量的客户端不是山西的吗？

而且调查后发现，被盗的不仅仅是我们这些程序员和博主，很多公司和个人开发者，甚至很多大学的开源镜像站也被盗用了流量，看来我们不是被针对了，而是被无差别攻击了。

我确信你和我一样好奇。这些攻击者这样做的目的是什么？我们如何才能防止自己受到垃圾邮件的攻击？

攻击者的意图

通过研究，我在网上找到了几种猜测：

1）怀疑云服务提供商窃取公司信息

这显然是不大可能的，因为不只一家公司，所有主流云服务商（阿里巴巴、腾讯、百度、七牛）的CDN都存在类似的情况。

2）部分地方运营商刷流量，称存在跨省结算问题，将用刷流量来平衡内部账单

3）非法利用家庭宽带的不良IDC（数据中心）利用PCDN增加下载流量，降低上传/下载比，避免被运营商发现。

其实2和3可以认为是同样的情况，这里我们只要了解几个概念，就能明白攻击者为什么这么做。

1）第一类是跨省结算，指不同省份的运营商之间的业务结算。由于网络服务通常跨多个省份，且各省网络独立运营，因此用户跨省使用网络资源时需要进行费用结算。运营商需要统计跨省数据流量，并按照相关协议进行费用分摊和结算，以确保各省运营商在提供服务时的公平性。

2）PCDN，又称P2P+CDN，即点对点的内容分发网络。这是一种利用用户终端设备（如家庭宽带路由器、个人电脑）缓存和分发内容的技术。以往所有内容都要从中心服务器下载，但有了PCDN，用户可以直接点对点连接传输数据，节省了服务器的流量，让用户可以更快地上传和下载内容。

听起来很神奇，不是吗？然而如此伟大的技术却被运营商封锁了。

为什么？当然影响利益啊！

一方面，海量的PCDN流量传输会给运营商网络带来压力，而且由于PCDN经常涉及到跨省的数据传输，运营商需要支付更多的跨省结算费用，这实在是一件吃力不讨好的事情。

另一方面，现在很多服务提供商都选择了更便宜的PCDN技术，不再向运营商租用带宽，直接抢占了运营商的收入。

因此在跨省结算期间，运营商会加大对PCDN等违规消耗跨省网络资源用户的打击力度，最有可能打击的就是符合PCDN上传流量远大于下载流量特征的用户。

在这种情况下，如果你是目标，你会怎么做？

当然是为了增加下载流量，平衡上传下载比例，防止被封号！所以，镜像站点、软件安装站点等文件资源越大的网站，被猎杀的几率就越大。用Yupi增加流量的网站，就是我们提供软件安装包的切图助手官网。

而且晚上是PCDN的上传高峰期，所以一切都在情理之中。

如何防止流量被刷？

每当有这样的事情发生，我之前分享的那篇《我被骗几万元的惨痛经历……”的文章的价值就更加珍贵了。

提到了几点：

但为什么这次我没有及时发现自己的流量被刷了呢?其实是因为攻击的IP基本都是动态家宽，和正常用户基本一致，所以没有触发报警，有点像温水煮青蛙。

所以建议还是一样，能避免就不要用 CDN！想想你网站的流量，真的有必要用 CDN 吗？

有自己网站的朋友这段时间也要注意保护好自己的网站，多注意数据监控，一旦发现一些异常的客户端IP，可以用黑名单封掉，或者这段时间彻底封掉以下山西网段：