什么是 PCDN

PCDN 或 P2P 是一种基于 P2P 技术和 CDN 的内容分发加速网络。它通过在网络中添加大量的低成本缓存服务器，将用户请求的内容从原始服务器分发到这些缓存服务器，从而实现内容更快、更稳定传输到终端用户。

随着网络技术发展，我们对大带宽的需求也不断增长。各大站群为了用户访问体验，通过 CDN 将用户的请求直接发送到用户所在城市的服务器，从而实现快速、稳定访问。

在内容分发网络服务领域业界普遍采用两种主流的计费模式：流量计费、带宽计费。无论选择哪种计费方式，随着流量的增加其运营成本相应上升，对于任何规模的网站都是一个不容忽视的经济压力。

大型网站由于其庞大的用户基础和高流量需求，对 CDN 服务的依赖则更为显著，因此成本控制成为其运营中关键环节。在这样背景下，一些领先的技术公司开始探索利用家庭宽带资源以优化成本结构。家庭宽带通常有较高的下行速率，而上行速率则相对较低，且普通用户往往未能充分利用其上行带宽。

为更高效地利用这些未被充分利用的上行带宽资源，一些企业推出了挂机宝。这类服务通过在用户设备上部署特定软件，利用用户的闲置带宽进行数据缓存和存储。在需要时，这些数据可以通过用户的家庭网络传输给其他的需求方，从而在减轻大型网站 CDN 负载同时，也为用户带来一定激励回报。

这种模式不仅有效降低了大型网站对传统 CDN 节点的依赖，降低运营成本，而且在经济上对用户也具有一定的吸引力。尽管需要向用户提供一定的激励，但与高昂的 CDN 节点带宽费用相比，这种成本节约是显著的。通过这种方式，企业能够以较低的成本扩展其 CDN 网络，同时为用户提供了一种将闲置资源变现的途径，实现了双方的共赢。

运营商限制 PCDN 原因主要

网络压力：PCDN 产生的海量流量对运营商的骨干传输网络形成了巨大压力。由于用户宽带通常是包月的，而不是按流量计费，因此用户使用越多，运营商网络的压力越大，而且运营商并不能因此收到更多费用。

盈利影响：视频类服务商搭建常规 CDN 服务节点需要租用运营商的高价机房和带宽。而用 PCDN 后，服务商对资源租用需求大幅减少，这直接影响了运营商的盈利。

安全风险：PCDN 节点与其它设备存在数据交互，可能导致隐私数据泄露，甚至产生安全漏洞，遭到恶意攻击。

成本问题：PCDN 业务会导致设备长期开启，增加电能浪费，影响硬盘寿命，甚至整个设备寿命。

PCDN 节点的排查逻辑

运营商对 PCDN 的打击已经产生了扩大化影响。一些地方运营商的政策更加激进，如全面回收 IPv6 地址、限制网络连接数量、网络类型改为 NAT4 等。

运营商需要对网络流量进行监控，区分正常上行流量和 PCDN 流量。这无疑又增加了人力和物力成本，所以大多数运营商都选择封杀 PCDN。

在现代互联网架构中运营商通过精细化的流量数据分析技术，对用户的网络行为进行深入洞察。特别是对上行和下行流量的对比分析，已经成为识别 PCDN 行为的关键指标之一。

普通用户在互联网中主要扮演资源获取者的角色而非资源提供者。因此，从流量分布的一般规律来看，用户的下行流量通常会显著高于上行流量。

这种流量分布的不对称性是家庭宽带非对称带宽特性的直接体现。所谓的非对称带宽，是指在数据传输过程中，上行和下行的带宽速率存在差异，通常情况下下行带宽会高于上行带宽，以适应用户更多下载而非上传的需求。

然而，在特定情况下，如果监测到用户的上行流量异常高甚至超过了下行流量，亦或者上行流量与下行流量的比例超出了正常阈值，这可能表明用户正在作为资源提供方参与到 PCDN 活动。PCDN 利用普通用户的闲置资源，通过 P2P 技术实现内容的分发，这在一定程度上改变了传统上下行流量的分布比例。

近期网络攻击频繁猜想

所谓，上有政策，下有对策。PCDN 服务商面对这种筛查机制，也有其应对的方法「以下内容是杜老师对近期网络攻击频繁的猜想，信息来自于互联网」

上面提到筛查的规则是判断上下行流量的比例，所以一些 PCDN 服务商开始使用刷流量的方式躲避筛查。

他们会在闲时「一般指午夜后」下发指令给 PCDN 设备，使其访问互联网的部分站点，来获得大量的下行流量。

很多博主反馈自己网站在后半夜会有短暂的高流量访问，很有可能就是因为 PCDN 刷流量导致。

面对这种情况，杜老师采用的方式就是根据时段限制流量，如闲时段可以限制带宽，或者流量上限。如触发后及时中断流量，避免因流量造成的资金损失。

最后补充一句，除 PCDN 之外，部分运营商对 PT 的政策也开始收紧了。杜老师的想法非常简单：要么别给那么高的带宽，既然给了，就不要限制我们的使用！

限制请求速度

1
2
3
4
5
6

limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m;
server {
  location /login.html {
    limit_req zone=one;
  }
}

注意：在安装 Nginx 时加载 ngx_http_limit_req_module 模块，通过 limit_req_zone 指令定义请求速率限制的区域，并使用 limit_req 指令在特定的 location 中应用这些限制。这样设置可限制每个客户端 IP 每分钟最多发起 30 个请求。

限制连接数量

1
2
3
4
5
6

limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
  location /store/ {
    limit_conn addr 10;
  }
}

注意：在安装 Nginx 时加载 ngx_http_limit_conn_module 模块，通过 limit_conn_zone 指令定义连接数量限制的区域，并使用 limit_conn 指令在特定的 location 中应用这些限制。这将限制每个客户端的 IP 同时最多只能有 10 个连接。

关闭慢速连接

1
2
3
4

server {
  client_body_timeout 5s;
  client_header_timeout 5s;
}

注意：通过设置 client_body_timeout 和 client_header_timeout 指令来定义读取客户端请求的超时时间，可以关闭慢速连接。这样可防止攻击者通过慢连接攻击耗尽服务器资源。

设置 IP 黑名单和白名单

1
2
3
4

location / {
  allow 192.168.1.0/24;
  deny all;
}

注意：使用 allow 和 deny 指令可控制特定 IP 地址或 IP 范围的访问权限。这样可以允许特定 IP 段访问，而拒绝其它所有 IP 访问。

限制文件类型和请求大小

1
2
3
4
5
6
7
8

server {
  location /upload/ {
    client_max_body_size 10M;
    if ($content_type ~* "^image/") {
      return 403 "Only non-image files are allowed.";
    }
  }
}

注意：通过 client_max_body_size 指令限制上传文件大小和类型，防止因大文件上传或超大数据包导致的服务中断或资源耗尽。

其它限制

可集成 Fail2Ban 工具，对日志文件进行自动化监控，一旦检测异常行为或恶意 IP 地址，立即将其加入黑名单并封锁。

定制化错误页面不仅能提升用户体验，还能在遭遇攻击时减少攻击者获取的有用信息。

持续关注 Nginx 的错误日志，借助日志分析工具，及时发现并响应任何异常行为或攻击迹象。

强制所有的数据传输通过 HTTPS 加密，可以有效抵御中间人攻击和数据泄露风险。