全部產品
Search
文件中心

CDN:高額賬單風險警示

更新時間:Aug 14, 2024

當您的網域名稱因被惡意攻擊或流量被惡意盜刷,產生了突發高頻寬或者大流量消耗,導致產生高於日常消費金額的高額賬單。因惡意攻擊或流量盜刷產生的高額賬單無法免除/退款,為盡量避免此類風險,本文為您介紹這一類情況的應對辦法。

潛在風險:惡意訪問帶來高額賬單

  • 在攻擊行為發生的時候,實際消耗了CDN的頻寬資源,因此您需要自行承擔攻擊產生的流量頻寬費用。

  • 客戶流量被惡意盜刷而產生突髮帶寬增高的情況與被攻擊的情況類似,因為實際消耗了CDN的頻寬資源,所以您需要自行承擔攻擊產生的流量頻寬費用。

連帶風險:賬單金額可能會超出賬戶餘額

網域名稱被惡意攻擊或者流量被惡意盜刷的情況下,極易出現高額賬單,連帶出現的風險是賬單金額往往會超出您的賬戶餘額。

CDN產品屬於隨用隨付產品,其賬單金額受計費周期(如按小時出賬,按天出賬、按月出賬等)和賬單處理時延(阿里雲CDN產品出賬存在3~4小時延遲)等因素的影響,無法做到賬戶餘額為0的情況下立即停機,因而可能會出現欠費金額大於0,或者單條賬單的欠費金額直接超出您的延停額度範圍。

阿里雲提供延期免停權益,如果您開啟了該服務,當您的賬戶欠費後,阿里雲會根據您的客戶等級或歷史消費等因素,提供一定額度或時間長度繼續使用雲端服務的權益,每個月自動計算並更新延停額度。

應對辦法

  • 阿里雲CDN產品預設並不提供存取控制或者安全防護能力,阿里雲CDN會對客戶頻寬突增情況進行檢測,如發現異常流量,則會根據客戶正常業務訪問量以及異常流量總體負載情況來評估是否對突發流量採取限流或者切沙箱等措施(不會100%觸發限流或者切沙箱,具體請參考使用限制中的“突髮帶寬/QPS限流規則”)來保障全網使用者的穩定性,由此導致的可用性問題,阿里雲不承擔責任。

  • 為保障服務的正常運行和避免出現高額賬單,建議參考本文檔開啟防護功能或者對流量進行相應的存取控制。

開啟存取控制

在出現異常流量突增的時候,建議您先通過分析即時日誌(參考文檔:配置即時日誌推送),來判斷當前是由於什麼原因產生的頻寬突增,然後根據具體的原因在控制台為網域名稱針對性的開啟以下存取控制功能,以避免產生不必要的流量頻寬消耗。

存取控制措施

功能說明

配置Referer防盜鏈

常用的一種配置方法是設定Referer防盜鏈的白名單,僅允許referer為指定網域名稱(例如:與您的網站業務系統相關的網域名稱)的訪問請求,以實現對訪客的身份識別和過濾,防止網站資源被非法盜用。詳細請參見配置Referer防盜鏈

配置URL鑒權

URL鑒權功能通過阿里雲CDN節點與您的資來源站點點配合,能夠形成更為安全可靠的來源站點資源防盜方法。詳細請參見配置URL鑒權

配置遠程鑒權

遠程鑒權功能通過阿里雲CDN節點將使用者請求轉寄至您指定的鑒權伺服器,由鑒權伺服器對使用者請求進行校正,從而可以更嚴格地限制資源被非授權使用者訪問。詳細請參見配置遠程鑒權

配置IP黑白名單

惡意攻擊或者流量突增行為發生以後,您可以通過即時日誌分析功能查看當前是否存在訪問較為高頻的IP地址,如果識別出惡意IP地址,那麼您可以使用IP黑白名單功能封鎖這些惡意IP地址。詳細請參見配置IP黑白名單

配置UA黑白名單

惡意攻擊或者流量突增行為發生以後,您可以通過即時日誌分析功能查看當前惡意訪問行為是否來自某些特定的User-Agent,如果識別出特定的User-Agent,那麼您可以使用UA黑白名單功能實現對惡意訪問行為的封鎖。詳細請參見配置UA黑白名單

開啟流量管理

建議您使用CloudMonitor產品設定產品層級或者網域名稱層級的頻寬監控規則(參考文檔:設定警示),及時瞭解流量或者頻寬的使用方式並發送異常警示。在出現異常頻寬突增的情況下,還可以給網域名稱配置頻寬限速、請求限速等策略。

流量管理項

功能說明

設定頻寬上限

如果您想要限制網域名稱的頻寬使用上限,可使用頻寬封頂功能來限制網域名稱的頻寬上限。(達到設定的頻寬閾值之後,CDN將停止為該網域名稱提供加速服務,且該網域名稱會被解析到無效地址)以避免產生過高的賬單。詳細請參見頻寬封頂

設定單請求限速

單請求限速功能可以對使用者訪問到CDN節點的所有請求進行下行速率限速。單請求限速功能比較經常用於配合客戶網站的營運活動,例如:遊戲新版本發布情境,通過配置單請求限速功能,可以壓制加速網域名稱的全網頻寬峰值。詳細請參見配置單請求限速

設定頻寬限速

如果您需要對網域名稱使用的阿里雲CDN頻寬做限速,在滿足日頻寬峰值大於10 Gbps的情況下,可以提交工單申請後台配置。

重要
  • 頻寬限速設定的是加速網域名稱的全網總頻寬上限,考慮到限速的精確性,頻寬限速值必須大於等於10 Gbps。

  • 達到頻寬上限(例如:10 Gbps)之後,CDN將會對加速網域名稱限速,限速之後使用者的訪問速度會變慢(每個請求的訪問速度都會降低),也可能會出現丟包。

  • 由於頻寬限速是通過加速網域名稱的即時監控資料來觸發的,而加速網域名稱的即時監控資料存在一定延遲(大約10分鐘),因此加速網域名稱的實際頻寬達到限速閾值大約10分鐘後,網域名稱才會被限速(此時加速網域名稱的實際頻寬很可能會大於限速閾值)。

設定即時監控

如果您要即時監控網域名稱的頻寬峰值,可以使用CloudMonitor產品的雲產品監控功能,設定對CDN產品下指定網域名稱的頻寬峰值監控,達到設定的頻寬峰值後將會給管理員發送警示(簡訊、郵件和DingTalk),便於更加及時地發現潛在風險。詳細請參見CloudMonitor產品詳情頁

設定費用預警

您可以在控制台右上方功能表列費用選擇費用與成本,通過設定以下這三個功能來更好地控制賬戶的消費額度,避免產生過高的賬單。

  • 可用額度預警:您可以設定賬戶餘額低於一定金額時即向您傳送簡訊警示。

  • 啟用延停額度:您可以選擇關閉該功能,這樣在帳號欠費時會立即關閉業務,以避免產生更多消費。

  • 高額消費預警:您可以開啟預警,設定產品日賬單大於預警閾值時將會傳送簡訊警示。

說明

為了保證計量資料統計的完整性,確保賬單的準確性,CDN產品需要在記賬周期結束後大約3個小時才能產生實際的賬單,因此實際扣款時間與對應的資源消費時間存在一定的時延,無法通過賬單來即時反饋資源消耗情況,這是由CDN產品自身的分布式節點特性決定的,每個CDN服務商都採用類似的處理辦法。

相關文檔

安全防護其他相關問題及處理方法,請參見安全防護FAQ