最近,主机帮一个多年用户联系上主机帮,表示他们手上的一个政府网站被刷流量,导致服务器带宽一直满状态,访问卡慢,想上百度云防护看能不能解决。
别的产品主机帮不清楚,百度云防护确实可以解决被刷流量问题,原因很简单,百度云防护不仅智能的CC防护策略,同时还支持各类匹配条件的自定义拦截功能,其中对拦截效果最有帮助的是JA3指纹拦截。
说到JA3指纹,普通站长可能不知道,这里我们说明下:
JA3 指纹是一种用于识别 TLS 客户端的“数字指纹”技术。它通过提取客户端在 TLS 握手阶段发送的 Client Hello 报文中的五个关键字段:
- TLS 版本
- 支持的加密套件(Cipher Suites)
- TLS 扩展列表(Extensions)
- 支持的椭圆曲线(Elliptic Curves)
- 椭圆曲线点格式(Elliptic Curve Formats)
将这些字段按顺序拼接成一个字符串,并对其进行 MD5 哈希计算,最终得到一个 32 位的哈希值,这就是 JA3 指纹 。
JA3 指纹的核心特点:
- 唯一性:不同的客户端(如 Chrome、Firefox、Python 请求库、恶意软件)由于使用的 TLS 参数组合不同,会生成不同的 JA3 指纹。
- 稳定性:只要客户端的 TLS 配置不变,即使 IP 地址变化,其 JA3 指纹也不会改变。
- 用途广泛:常用于恶意软件检测、僵尸网络识别、网络流量分析、反爬虫机制等场景 。
想要使用JA3 指纹拦截需要网站部署SSL证书,刚好客户政府网站是部署有SSL证书的。
我们通过接入百度云防护后,开启了智能CC防护功能。
由于怕误杀,客户只设置了宽松模式。
依然拦截了一堆的高频访问IP
不过虽然拦截了一些高频IP访问了,但依然流量很高,云防护消耗的流量飞快,接入1小时就消耗了十几G流量,作为一个政府网站,这是不正常的。
然后通过百度云防护日志查看,发现一个JA3指纹为:8ab05683f2e4dd948638ab312a972f44
大量访问了网站的图片资源,而且该JA3指纹明明是同一台机器,但却采用了大量不同的IPV6 IP进行访问网站,由此可以判断这是一个刷流量的机器在访问我们网站。
解决办法很简单,进入自定义规则功能-添加规则,添加规则如下图:
然后我们再进入攻击详情-自定义规则查看拦截情况。
果然拦截了一大堆IPV6的访问,通过查询这些IPV6的地址发现,这些IP地址都是广东各地的,可以判断应该是广东的某些代理IP服务进行刷流量行为,但其服务器并没有更换,所以无论怎么更换IP,他的JA3指纹都是不变的,这给了我们很好的拦截特征。
拦截后,流量消耗果然大降了,本次刷流量拦截成功!
目前客户网站两天只用了45G流量。
至于为什么有人会刷政府网站的流量,这点主机猜测可能跟PCDN有关,一些PCDN用户会故意“刷”静态文件(尤其是大文件),目的之一就是为了躲避运营商的“跨省结算”检查,这是一种“上有政策,下有对策”的规避行为。
下面是详细解释:
✅ 背景:什么是“跨省结算”?
运营商内部有省间结算机制,即不同省份之间的流量需要按规则结算费用。
- 如果某个省的用户频繁访问外省资源,该省运营商可能需要向外省支付费用。
- 而 PCDN 的流量往往跨省传输频繁,导致运营商结算成本上升,因此成为重点监管对象。
⚠️ PCDN 用户为何要“刷下行流量”?
运营商判断一个家庭宽带是否违规用于 PCDN,关键指标之一是“上传/下载比例”:
- 正常用户:下载远大于上传(比如 5:1)
- PCDN 用户:上传远大于下载(比如 1:5),因为他们在“分发内容”
为了掩盖这种异常比例,一些 PCDN 用户会:
主动大量下载大文件(如 .zip、.iso、.mp4),人为拉高“下行流量”,让上传/下载比例看起来“正常”。
他们是怎么刷的?
- 目标站点:优先选择提供大文件下载的静态网站(如镜像站、软件站、开源项目站)
- 请求特征:
- 只下载大文件,不访问网页
- User-Agent 异常(如
Go-http-client、okhttp) - IP 来源分散,多为家庭宽带
- 请求时间集中在晚上(PCDN 上传高峰时段)
✅ 总结一句话:
一些 PCDN 用户为了逃避运营商对其“上传异常”行为的识别,会故意刷静态大文件来“制造下行流量”,从而伪装成普通用户,躲避跨省结算检查和封号风险。
如果你网站的静态资源(尤其是大文件)被频繁、异常地下载,而你又不是热门下载站,那很可能就是被拿来“刷下行”了。建议:
- 开启 CDN 缓存,减少回源
- 设置防盗链或 Token 验证
- 封禁异常 UA 或 IP 段
或者使用百度云防护,对JA3指纹进行拦截,这样即使对方再多的IP也无法刷到你的网站流量。
