当 PCDN 来敲门：一个"小"博客的 200G 流量惊魂记

结果你猜怎么着？嘿！我也中招了。

而且一上来就是 200G 的"大礼包"……

灾难现场

直到今天早上，网站突然无法访问，浏览器提示 SSL 证书错误。第一反应：证书过期了？检查后发现不是。然后猛然意识到——可能是欠费自动关停了。

登录腾讯云后台，站内信静静地躺着一条通知：

流量已使用 200G，账户欠费中……

200G！ 平时一个月也就用几十 G，这相当于正常流量半年的量，一夜之间被薅光了。

溯源：这锅 PCDN 背定了

排查日志后，真相浮出水面。典型的 PCDN 刷流量攻击，特征明显得几乎在嘲笑我：

• 攻击者：95 个湖北电信家庭宽带 IP
• 目标：站点里一个欢迎视频 /welcome.mp4
• 手法：每晚固定时段，每个 IP 来"光顾" 5-40 次，下载完就走，绝不拖泥带水

这哪是访问，分明是精准的流量收割。

攻击画像

📍 IP 分布：湖北电信"全家桶"

全部指向中国电信湖北分公司（武汉、黄石、宜昌等地）。家庭宽带动态 IP，拨号一次换一个，封都封不过来。

🕵️ User-Agent：最简陋的伪装

97% 的请求使用了完全一致的 UA：

Mozilla/5.0 (Windows NT 10.0; Win64; x64)

注意，后面没了。没有 AppleWebKit/537.36，没有 Chrome/xxx，没有 Safari/537.36。这就像穿着写着"我是便衣"的衣服来卧底，敷衍得令人发指。

🔗 Referer：自己引用自己

更离谱的是 Referer。137 次请求携带的 Referer 是：

/welcome.mp4

自己引用自己？ 正常用户不会用视频地址作为来源去请求同一个视频。这种伪造手法，属于连演戏都懒得演全套。

⚡ 行为模式：工业级的效率

• 单 IP 流量：18.5MB - 92.6MB（平均 26.6MB）
• 请求方式：纯 GET，不带 Range 分片（部分有）
• 响应时间：平均 45 秒（大文件下载特征）
• 缓存状态：100% hit（专挑 CDN 缓存命中的资源下手）

攻击在 19:38-19:43 达到峰值，每分钟 7 次请求，呈现明显的脉冲式节奏——这是 PCDN 工具自动拨号换 IP 的典型心跳。

黑名单：95 个攻击 IP 全记录

如果你也遇到类似攻击，可以直接拉黑这批 IP（逗号分隔，便于批量导入）：

183.92.200.12,183.92.200.18,183.92.200.28,183.92.200.47,183.92.200.69,183.92.200.8,183.92.202.69,183.92.202.72,183.92.202.91,183.92.202.92,183.92.212.133,183.92.212.137,183.92.212.139,183.92.212.143,183.92.212.148,183.92.212.154,183.92.212.158,183.92.212.159,183.92.212.163,183.92.212.169,183.92.212.173,183.92.212.174,183.92.212.178,183.92.212.183,183.92.212.184,183.92.212.188,183.92.212.189,183.92.212.203,183.92.212.204,183.92.212.208,183.92.212.209,183.92.212.213,183.92.212.214,183.92.212.219,183.92.212.223,183.92.212.224,183.92.212.228,183.92.212.229,183.92.212.233,183.92.212.234,183.92.212.239,183.92.212.243,183.92.212.244,183.92.212.248,183.92.212.249,183.92.212.253,183.92.214.187,183.92.214.188,183.92.214.199,183.92.214.203,183.92.214.208,183.92.214.223,183.92.214.224,183.92.214.228,183.92.214.229,183.92.214.233,183.92.214.238,183.92.214.243,183.92.214.244,183.92.214.248,183.92.214.253,183.92.215.106,183.95.112.59,183.95.112.64,183.95.112.68,183.95.112.69,183.95.112.73,183.95.113.102,183.95.113.103,183.95.113.108,183.95.113.113,183.95.113.118,183.95.113.122,183.95.113.132,183.95.113.143,183.95.113.147,183.95.113.152,183.95.113.168,183.95.113.172,183.95.113.177,183.95.113.178,183.95.113.18,183.95.113.192,183.95.113.197,183.95.113.198,183.95.113.202,183.95.113.207,183.95.113.208,183.95.113.252,183.95.113.72,183.95.113.73,183.95.113.92,183.95.113.98,36.63.156.121,58.19.253.86

直接封禁网段：

• 183.92.0.0/16
• 183.95.0.0/16

教训与反思

1. 不要低估 PCDN 的"眼光"：它们专挑大文件、缓存命中高的资源下手，一个 18MB 的视频足以成为目标。
2. 监控告警必须设：如果早点设置带宽封顶告警，不至于等到欠费才发现。
3. UA 黑名单很有效：那个简陋的 Mozilla/5.0 (Windows NT 10.0; Win64; x64) 可以直接拉黑，误伤极小。
4. URL 鉴权是终极方案：对大文件开启动态鉴权，让 PCDN 工具无法构造合法链接。

这次 200G 的学费交得有点疼，但至少摸清了 PCDN 的套路。希望这篇记录能帮到你，如果也遇到类似情况，欢迎交流对策。

毕竟，在这个时代，没被 PCDN 刷过的 CDN 人生，是不完整的。