當您的網域名稱因被惡意攻擊或流量被惡意盜刷,產生了突發高頻寬或者大流量消耗,導致產生高於日常消費金額的高額賬單。因惡意攻擊或流量盜刷產生的高額賬單無法免除/退款,為盡量避免此類風險,本文為您介紹這一類情況的應對辦法。
潛在風險:惡意訪問帶來高額賬單
在攻擊行為發生的時候,實際消耗了CDN的頻寬資源,因此您需要自行承擔攻擊產生的流量頻寬費用。
客戶流量被惡意盜刷而產生突髮帶寬增高的情況與被攻擊的情況類似,因為實際消耗了CDN的頻寬資源,所以您需要自行承擔攻擊產生的流量頻寬費用。
連帶風險:賬單金額可能會超出賬戶餘額
網域名稱被惡意攻擊或者流量被惡意盜刷的情況下,極易出現高額賬單,連帶出現的風險是賬單金額往往會超出您的賬戶餘額。
CDN產品屬於隨用隨付產品,其賬單金額受計費周期(如按小時出賬,按天出賬、按月出賬等)和賬單處理時延(阿里雲CDN產品出賬存在3~4小時延遲)等因素的影響,無法做到賬戶餘額為0的情況下立即停機,因而可能會出現欠費金額大於0,或者單條賬單的欠費金額直接超出您的延停額度範圍。
阿里雲提供延期免停權益,如果您開啟了該服務,當您的賬戶欠費後,阿里雲會根據您的客戶等級或歷史消費等因素,提供一定額度或時間長度繼續使用雲端服務的權益,每個月自動計算並更新延停額度。
應對辦法
阿里雲CDN產品預設並不提供存取控制或者安全防護能力,阿里雲CDN會對客戶頻寬突增情況進行檢測,如發現異常流量,則會根據客戶正常業務訪問量以及異常流量總體負載情況來評估是否對突發流量採取限流或者切沙箱等措施(不會100%觸發限流或者切沙箱,具體請參考使用限制中的“突髮帶寬/QPS限流規則”)來保障全網使用者的穩定性,由此導致的可用性問題,阿里雲不承擔責任。
為保障服務的正常運行和避免出現高額賬單,建議參考本文檔開啟防護功能或者對流量進行相應的存取控制。
開啟存取控制
在出現異常流量突增的時候,建議您先通過分析即時日誌(參考文檔:配置即時日誌推送),來判斷當前是由於什麼原因產生的頻寬突增,然後根據具體的原因在控制台為網域名稱針對性的開啟以下存取控制功能,以避免產生不必要的流量頻寬消耗。
存取控制措施 | 功能說明 |
配置Referer黑/白名單 | 該功能可以根據請求的Referer欄位來對訪問的請求進行攔截或者允許存取,防止網站資源被非法盜用。如果請求命中了配置的Referer白名單,則直接允許存取,沒有命中則請求被攔截;相反,如果命中了黑名單,則被攔截,沒有命中則允許存取。您可以參考配置Referer黑/白名單的教程,配置適用於您自己業務情境的配置。 |
配置URL鑒權 | URL鑒權功能通過阿里雲CDN節點與您的資來源站點點配合,能夠形成更為安全可靠的來源站點資源防盜方法。您可以參考配置URL鑒權的介紹配置符合自己業務的規則。 |
配置遠程鑒權 | 遠程鑒權功能通過阿里雲CDN節點將使用者請求轉寄至您指定的鑒權伺服器,由鑒權伺服器對使用者請求進行校正,從而可以更嚴格地限制資源被非授權使用者訪問。您可以根據配置遠程鑒權的介紹配置符合自己業務的規則。 |
配置IP黑白名單 | 惡意攻擊或者流量突增行為發生以後,您可以通過即時日誌分析功能查看當前是否存在訪問較為高頻的IP地址,如果識別出惡意IP地址,那麼您可以使用IP黑白名單功能封鎖這些惡意IP地址。詳細請參見配置IP黑白名單。 |
配置UA黑白名單 | 惡意攻擊或者流量突增行為發生以後,您可以通過即時日誌分析功能查看當前惡意訪問行為是否來自某些特定的User-Agent,如果識別出特定的User-Agent,那麼您可以使用UA黑白名單功能實現對惡意訪問行為的封鎖。詳細請參見配置UA黑白名單。 |
開啟流量管理
建議您使用CloudMonitor產品設定產品層級或者網域名稱層級的頻寬監控規則(參考文檔:設定警示),及時瞭解流量或者頻寬的使用方式並發送異常警示。在出現異常頻寬突增的情況下,還可以給網域名稱配置頻寬限速、請求限速等策略。
流量管理項 | 功能說明 |
設定頻寬上限 | 如果您想要限制網域名稱的頻寬使用上限,可使用頻寬封頂功能來限制網域名稱的頻寬上限。(達到設定的頻寬閾值之後,CDN將停止為該網域名稱提供加速服務,且該網域名稱會被解析到無效地址)以避免產生過高的賬單。詳細請參見頻寬封頂。 |
設定單請求限速 | 單請求限速功能可以對使用者訪問到CDN節點的所有請求進行下行速率限速。單請求限速功能比較經常用於配合客戶網站的營運活動,例如:遊戲新版本發布情境,通過配置單請求限速功能,可以壓制加速網域名稱的全網頻寬峰值。詳細請參見配置單請求限速。 |
設定頻寬限速 | 如果您需要對網域名稱使用的阿里雲CDN頻寬做限速,在滿足日頻寬峰值大於10 Gbps的情況下,可以提交工單申請後台配置。 重要
|
設定即時監控 | 如果您要即時監控網域名稱的頻寬峰值,可以使用CloudMonitor產品的雲產品監控功能,設定對CDN產品下指定網域名稱的頻寬峰值監控,達到設定的頻寬峰值後將會給管理員發送警示(簡訊、郵件和DingTalk),便於更加及時地發現潛在風險。詳細請參見CloudMonitor產品詳情頁。 |
設定費用預警 | 您可以在控制台右上方功能表列費用選擇費用與成本,通過設定以下這幾個功能來更好地控制賬戶的消費額度,避免產生過高的賬單。
說明 為了保證計量資料統計的完整性,確保賬單的準確性,CDN產品需要在記賬周期結束後大約3個小時才能產生實際的賬單,因此實際扣款時間與對應的資源消費時間存在一定的時延,無法通過賬單來即時反饋資源消耗情況,這是由CDN產品自身的分布式節點特性決定的,每個CDN服務商都採用類似的處理辦法。 |
開啟防護功能
如果以上的存取控制功能和流量管理功能依然無法滿足您的需求,建議您開通ESA,ESA有更強大的整體安全防護能力,使用原生DDoS防護、原生Web Application Firewall搭配阿里雲自研機器學習演算法,對每一次請求進行威脅檢測,為您的業務安全進行全方位護航。詳細請參見ESA安全防護和如何從CDN、DCDN升級到ESA。
攻擊類型 | 情境概述 | 防護措施 |
DDoS攻擊 | Web應用程式層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。 通常應用程式層攻擊完全類比使用者請求,類似於各種搜尋引擎和爬蟲一樣,這些攻擊行為和正常的業務並沒有嚴格的邊界,難以辨別。 Web服務中一些資源消耗較大的事務和頁面。例如,Web應用中的分頁和分表,如果控制頁面的參數過大,頻繁的翻頁將會佔用較多的Web服務資源。尤其在高並發頻繁調用的情況下,類似這樣的事務就成了早期CC攻擊的目標。 由於現在的攻擊大都是混合型的,因此類比使用者行為的頻繁操作都可以被認為是CC攻擊。例如,各種刷票軟體對網站的訪問,從某種程度上來說就是CC攻擊。 CC攻擊瞄準的是Web應用的後端業務,除了導致拒絕服務外,還會直接影響Web應用的功能和效能,包括Web回應時間、資料庫服務、磁碟讀寫等。 | ESA預設整合了DDoS防護能力,通過分層防護體系快速緩解攻擊影響,顯著縮短業務停機時間,保障網站在攻擊期間維持可用狀態。ESA將預設為您提供DDoS防護,根據不同的套餐,ESA提供不同防護能力的DDoS防護服務,縮短服務暫停時間,以確保您的網站在攻擊期間能夠儘快恢複正常營運。 |
流量盜刷 |
|
相關文檔
安全防護其他相關問題及處理方法,請參見安全防護FAQ。