我经营着一个简单的代理/通用网站,我和几个朋友同时使用kerenua.xyz然而,从三周前开始,大量流量开始从数百个(唯一)IP 地址涌入。
在“使用量”高峰期,该流量达到200 Mbps! 分析 apache2 access.log 后,可以看出这些请求是通过网站上名为“miniProxy”的 Web 应用程序发送到“akamaihd.net”的子域(CDN)。
每个请求都是针对某种 .m3u8/.ts 文件 - 'prog.m3u8' 'master_600.m3u8' 'master_1200_175739.ts'
此外,尽管这些文件很小,但每个 HTTP 连接在持续的一段时间内都会以 2-5Mbps 的速度下载。我不知道这是怎么可能的。
TCPTrack 短片:https://files.catbox.moe/b220cv.mp4
日志片段:
148.251.126.118 - - [09/Aug/2019:23:57:30 -0400] "GET /zine/mini/miniProxy.php/http://tvetcnphiladelph-i.akamaihd.net/hls/live/219798/TCNPhiladelphiax/2596k/prog.m3u8 HTTP/1.1" 403 3986 "-" "Xtream-Codes IPTV Panel Pro" 58.182.65.81 - - [09/Aug/2019:23:57:30 -0400] "GET /zine/mini/miniProxy.php/http://starvijay-i.akamaihd.net/hls/live/569909/starvijay/master_2000.m3u8 HTTP/1.1" 403 914 "-" "ZalTV 1.1.5 (16)" 103.23.34.11 - - [09/Aug/2019:23:57:30 -0400] "GET /zine/mini/miniProxy.php/http://tvegolf-i.Akamaihd.net/hls/live/218225/golfx/4296k/prog.m3u8 HTTP/1.1" 403 914 "-" "ZalTV 1.1.5 (16)" [UNUSUAL!] 195.181.173.46 - - [10/Aug/2019:00:14:41 -0400] "GET /zine/mini/miniProxy.php/http://live.savitar.tv/Nickelodeon/myStream/playlist.m3u8?wmsAuthSign=c2VydmVyX3RpbWU9OC8xMC8yMDE5IDQ6MTM6NTUgQU0maGFzaF92YWx1ZT1DcG0zeEJPaGtTMnZRN1JIcmc4SHNBPT0mdmFsaWRtaW51dGVzPTM2MCZpZD0w HTTP/1.1" 403 3772 "-" "Flussonic 19.06.1".m3u8 / .ts 文件:
[Most Common] prog.m3u8 : https://files.catbox.moe/2xzqv2.m3u8 [golf??] segment_156540690.ts : https://files.catbox.moe/qboiod.ts master_600.m3u8 : https://files.catbox.moe/z80aa9.m3u8 playlist.m3u8 : https://files.catbox.moe/3rz6dx.m3u8
他们是如何做到的?为什么这样做?
我希望有人能帮助我,因为我确实缺乏对情况的了解和控制。
编辑:我仍然不确定这种滥用行为的真正性质,它是如何运作的/为什么除此之外它还涉及 IPTV。我将采取预防措施(文件扩展名黑名单?)。
答案1
有人(我猜是你)在你的网站上设置了一个开放代理服务器,互联网上的其他人发现了它并开始滥用它。看来他们仍在滥用它。截至撰写本文时,开放代理似乎仍处于活动状态;它允许我访问 Google 的主页。
要解决该问题,请删除开放代理服务器或对其设置访问控制。