问题描述

用阿里云 CDN 为公司官网加速一年左右了，之前遇到一些大流量的奇怪 IP 都会识别判断为采集站等，为了控制费用支出会在 CDN 后台手动封禁，相对比较有效。

近期又出现了大批量的 IP 地址频繁访问网站视频文件的情况，显示来源为“石家庄电信”。

因为这些视频是公司产品介绍，比较冷门，根本不像是普通用户的访问行为。而且更重要的是其“via_info”字段也非常有规律。根据阿里云的文档其描述为：

CNAME 域名，是 CDN 生成的，当您在阿里云 CDN 控制台添加加速域名后，系统会为加速域名分配一个*.kunlun.com 形式的 CNAME 域名。

由于这些中都含有"kunlun"字样，所以个人怀疑这些是阿里云自己的服务，一旦封锁可能影响 CDN 正常工作。但是咨询阿里云客服，客服否认了这个推测，并且提供了一个检测网址https://cdn.console.aliyun.com/tool/ipCheck。实际动手查了一下，确实这些 IP 地址都显示为“否/未知运营商”，即不是阿里云自己的 IP。

via_info

cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,0,200-0,H], kunlun5.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,1,200-0,H], kunlun6.cn1593[4,0]
cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,0,200-0,H], kunlun10.cn1593[2,0]
cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,0,200-0,H], kunlun8.cn1593[6,0]
cache58.l2cn1823[0,0,304-0,H], cache59.l2cn1823[2,0], kunlun4.cn6199[0,0,200-0,H], kunlun7.cn6199[9,0]
cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,1,200-0,H], kunlun7.cn1593[5,0]
cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,0,200-0,H], kunlun7.cn1593[1,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun4.cn1593[2,0]
cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,0,200-0,H], kunlun1.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun8.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun6.cn1593[3,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun5.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun10.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun1.cn1593[2,0]
cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,0,200-0,H], kunlun4.cn1593[2,0]
cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,0,200-0,H], kunlun10.cn1593[1,0]
cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,0,200-0,H], kunlun7.cn1593[1,0]
cache58.l2cn1823[0,0,304-0,H], cache70.l2cn1823[1,0], kunlun4.cn1593[0,1,200-0,H], kunlun1.cn1593[4,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,1,200-0,H], kunlun5.cn1593[6,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun6.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun10.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun8.cn1593[3,0]
cache58.l2cn1823[106,107,304-0,H], cache21.l2cn1823[108,0], kunlun4.cn1593[338,338,200-0,H], kunlun5.cn1593[340,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun5.cn1593[1,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun2.cn1593[3,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun7.cn1593[1,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun7.cn1593[1,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun1.cn1593[1,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun7.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun4.cn1593[1,0]
cache58.l2cn1823[106,107,304-0,H], cache21.l2cn1823[108,0], kunlun4.cn1593[0,1,200-0,H], kunlun10.cn1593[3,0]
cache58.l2cn1823[106,107,304-0,H], cache21.l2cn1823[108,0], kunlun4.cn1593[0,0,200-0,H], kunlun6.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun6.cn1593[1,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun5.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun1.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,1,200-0,H], kunlun2.cn1593[4,0]
cache58.l2cn1823[106,107,304-0,H], cache21.l2cn1823[108,0], kunlun4.cn1593[0,0,200-0,H], kunlun2.cn1593[3,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun10.cn1593[1,0]
cache58.l2cn1823[106,107,304-0,H], cache21.l2cn1823[108,0], kunlun4.cn1593[0,0,200-0,H], kunlun5.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun4.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun2.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun1.cn1593[2,0]
cache58.l2cn1823[106,107,304-0,H], cache21.l2cn1823[108,0], kunlun4.cn1593[0,0,200-0,H], kunlun5.cn1593[2,0]
cache32.l2cn3147[152,152,304-0,H], cache68.l2cn3147[154,0], kunlun2.cn1593[0,0,200-0,H], kunlun8.cn1593[10,0]

Client IP

106.117.19.26 ( 中国/河北省/石家庄市中国电信 )
106.114.11.37 ( 中国/河北省/石家庄市中国电信 )
182.200.126.65 ( 中国/辽宁省/沈阳市中国电信 )
106.114.165.104 ( 中国/河北省/石家庄市中国电信 )
106.117.13.169 ( 中国/河北省/石家庄市中国电信 )
124.236.243.230 ( 中国/河北省/石家庄市中国电信 )
106.117.19.159 ( 中国/河北省/石家庄市中国电信 )
106.114.184.124 ( 中国/河北省/石家庄市中国电信 )
106.114.249.97 ( 中国/河北省/石家庄市中国电信 )
124.236.179.157 ( 中国/河北省/石家庄市中国电信 )
106.113.170.107 ( 中国/河北省/石家庄市中国电信 )
106.113.39.93 ( 中国/河北省/石家庄市中国电信 )
106.117.79.198 ( 中国/河北省/石家庄市中国电信 )
106.114.72.6 ( 中国/河北省/石家庄市中国电信 )
106.113.14.233 ( 中国/河北省/石家庄市中国电信 )
106.114.173.83 ( 中国/河北省/石家庄市中国电信 )
124.236.205.120 ( 中国/河北省/石家庄市中国电信 )
106.114.217.158 ( 中国/河北省/石家庄市中国电信 )
124.236.204.51 ( 中国/河北省/石家庄市中国电信 )
106.113.25.224 ( 中国/河北省/石家庄市中国电信 )
106.117.20.103 ( 中国/河北省/石家庄市中国电信 )
106.114.220.199 ( 中国/河北省/石家庄市中国电信 )
124.236.197.220 ( 中国/河北省/石家庄市中国电信 )
106.114.79.241 ( 中国/河北省/石家庄市中国电信 )
124.236.193.53 ( 中国/河北省/石家庄市中国电信 )
106.114.173.142 ( 中国/河北省/石家庄市中国电信 )
106.114.252.139 ( 中国/河北省/石家庄市中国电信 )
106.113.171.21 ( 中国/河北省/石家庄市中国电信 )
106.114.172.182 ( 中国/河北省/石家庄市中国电信 )
106.114.178.47 ( 中国/河北省/石家庄市中国电信 )
106.113.170.65 ( 中国/河北省/石家庄市中国电信 )

我的疑问

这些访问 IP 的来源到底是哪里？

目前我有几个推测，但不知道如何印证，还请高人指点一二。

推测 1：电信为了解决不同运营商之间跨网访问的速度问题，自建 CDN ，把其他 ISP 的网站内容先拉取到自己服务器一份？
推测 2：被某个“网站测速工具”网站盗用了视频文件，用于其测速服务？（但这与 Client IP 相对集中似乎不符）
推测 3：阿里云自己去刷用户的流量，为了多收费？（之前曾听说有类似的说法，但有点阴谋论）

7 条回复

cydian

23 小时 2 分钟前

via_info 是本次访问经过的节点信息吧？

mytsing520

22 小时 8 分钟前

via_info 里面显示的是经过的 CDN 节点

ljl024

18 小时 10 分钟前

怀疑是 pcdn 刷下行流量

sunchaoylq

2 小时 48 分钟前

@ljl024 这个 PCDN 是指另外一个 CDN 提供商吗？这样做的目的是什么呢？

sunchaoylq

2 小时 46 分钟前

@cydian @mytsing520 我可能没太理解这个意思，如果 via_info 指的是 CDN 节点，那么哪个信息是真正的客户端 IP ？（应该不是 Client IP ，因为这些 IP 很集中，而且经查询也不在阿里云的 IP 库里）

cydian

1 小时 51 分钟前

@sunchaoylq via_info 的信息，只是访客访问时，资源经过的节点信息。一般用作调试用途，比如需要详细知道这个资源为什么出错了，在哪一层被缓存了，经过了哪些节点。对于你这个问题，via_info 是没有帮助的。

我觉得你直接关注终端 ip 即可。

sunchaoylq

1 小时 42 分钟前

@cydian 明白了，感谢！我现在的对策是这样：
1 、设置配置 Referer 防盗链，仅允许自家域名（为了防止其他网站盗链到网站视频）
2 、定期检查下载量较大的 Client IP ，如果能够明确判断其不属于正常访客就直接拉黑。判断依据包括：IP 段高度集中、反查 IP 可发现 web 服务或 22 等管理端口开放。
经过 1 天的观察已经对流量控制有了明显效果，但对其他访客是否有影响还有待于进一步观察。

关于使用阿里云 CDN 后产生大流量客户端 IP 的问题

问题描述

via_info

Client IP

我的疑问