站长/运维人士请注意：近期有山西联通恶意IP刷量 疑似为PCDN相关产业

站长/运维人士请注意：近期有山西联通恶意IP刷量 疑似为PCDN相关产业

近期，多位站长反馈CDN流量异常上涨，经分析发现，这些异常流量主要来自山西联通的特定IP段。这一现象引发了业内关注，有专家推测这可能与PCDN相关产业的某些不当行为有关。本文将详细解析这一现象及其可能的影响，并为网站运维人员提供应对建议。

近期蓝点网注意到多个使用CDN的网站遭到恶意刷量，这些恶意刷量背后的人可能和PCDN相关的产业有关，即故意拉取和消耗某些网站托管的CDN文件来平衡自己的上传和下载。

CDN即内容分发网络，通常网站使用内容分发网络加速网站的加载速度，而CDN是按照带宽和流量计费的，无论哪种方式遇到恶意刷量都会产生高额的费用账单。

本次恶意刷量的IP来源地集中为山西联通，网段包括60.221.231.、221.205..、221.90..*，经过查询这些网段分布在山西省不同的地市，但运营商均为中国联通。

通常情况下，如果是黑客攻击可能会选择使用境外IP地址发起攻击，不太可能全部集中在山西联通的IP地址段，因此猜测这并不是常规的网络攻击。

在V2EX上也有帖子讨论这件事，目前初步猜测可能是PCDN相关的东西，即因为部分运营商打击PCDN并监测上下行流量来判断用户是否可能使用PCDN。如果用户存在巨量上传但下载量非常小，那可能就是PCDN。

基于这段时间部分PCDN相关的从业者会伪造BT数据从BT网络里无限下载流量，而现在盯上网站刷CDN流量可能也是类似的原因。使用CDN的网站资源加载速度通常极快，因为按流量计费的CDN带宽可以高达500Mbps甚至更高，这种情况下PCDN只需要伪造数据不停地发起请求并下载就可以产生大量的下载流量，以此来平衡与上传的流量，避免被运营商判定为PCDN。

在这里也建议各位网站和运维人士检查网站访问日志（建议排查7月7日的访问日志）看看是否有类似的高频请求问题，如发现恶意IP应当直接拉黑整个IP段，避免不停地请求浪费CDN流量同时可能影响网站稳定性。