當您的網域名稱因被惡意攻擊或流量被惡意盜刷,產生了突發高頻寬或者大流量消耗,導致產生高於日常消費金額的高額賬單。因惡意攻擊或流量盜刷產生的高額賬單無法免除/退款,為盡量避免此類風險,本文為您介紹這一類情況的應對辦法。
及時止損
當您已經發現網域名稱因被惡意攻擊或流量被惡意盜刷,並且產生了高額賬單,請先設定頻寬上限和單請求限速,以此來減少進一步的損失,設定完成後再進一步分析日誌做出針對性的安全設定。
控制頻寬用量
通過設定頻寬上限,來控制頻寬用量。當指定加速網域名稱在統計周期(1分鐘)內產生的平均頻寬超出預設上限,CDN將停止為該網域名稱提供加速服務,且該網域名稱會被解析到無效地址offline.***.com,無法繼續訪問。因此設定頻寬封頂頻寬值時,可根據日常業務峰值預留適當頻寬空間。具體操作請參見配置頻寬封頂。
限制下行速率
通過配置單請求限速,對使用者訪問到CDN節點的所有請求進行下行速率限速,以此來壓制加速網域名稱的全網頻寬峰值。具體操作請參見配置單請求限速。
分析原因
查詢賬單明細,確認流量異常的時間段
您可以在費用與成本明細賬單頁面查看雲產品相關的消費明細。根據實際需求選擇統計維度和統計周期,查看不同維度報表。詳細操作請參見明細賬單。
統計周期選擇明細,產品選擇CDN,仔細審查賬單,注意流量和頻寬的異常增加,以及流量異常的時間段。具體請參見賬單查詢。
檢查記錄檔,識別異常流量
基礎查詢:離線日誌
通過下載離線日誌,查看相關時間段的訪問日誌,分析HTTP請求的詳細資料,識別可疑的IP地址、User-Agent等。離線日誌欄位資料相對較少,如果您想查看更多資料,可使用即時日誌功能。
獲得離線記錄檔後,您可以使用命令列工具來快速解析記錄檔,提取訪問量TOP10的IP地址或User-Agent等資訊,詳情請參見CDN訪問日誌的分析方法。
進階查詢:營運報表和即時日誌
營運報表需定製後才會進行生產統計分析,如果您之前已配置過即時日誌推送或訂閱營運報表,您可以查看到過去的日誌資訊。營運報表為CDN內建免費功能,無需額外付費。
即時日誌需要開通Log Service(SLS)並成功投遞日誌後,才會產生即時日誌。即時日誌為付費功能,具體計費請參見計費詳情。
即時日誌和營運報表均需要提前配置,如果您在產生高額賬單之前未配置過這兩項功能,只能通過離線日誌進行歷史資料分析。
定製營運報表後,您可以看到使用者訪問的PV/UV、地區和電訊廠商、網域名稱排行、熱門referer、熱門URL、回源熱門URL和Top用戶端IP等報表內容。具體操作請參見定製和訂閱營運報表。
如果您想查詢更多日誌資訊,例如Referer和URI等資訊,需要開通Log ServiceSLS,將採集到的即時日誌即時推送至Log Service。開啟即時日誌,並成功投遞日誌後,根據日誌投遞條數產生計費。
參考配置即時日誌推送為需要分析使用者訪問資料的CDN加速網域名稱配置即時日誌推送。
在即時日誌功能頁面找到需要分析日誌的Project名稱,單擊日誌分析。
進入日誌分析頁面,在右上方過濾時間段,單擊左側原始日誌頁簽,找到
refer_domain欄位,您可以看到由高到低排列的Referer資訊。
解決問題
當您擷取到了日誌或報表資料後,您可以通過資料特徵來分析攻擊類型。通常您可以分析Top資訊(Top IP、Top User-Agent、Top Referer等)提取特徵。
限制可疑IP訪問
通過配置IP黑名單,限制訪問源IP。分析日誌後,篩選出一些可疑的攻擊IP,您需要將這些可疑的IP地址列入黑名單。具體操作請參見配置IP黑白名單。
過濾可疑User-Agent
攻擊者通過偽造User-Agent欄位發送大量請求,試圖繞過安全檢查。偽造的User-Agent可能是空值、隨機字串或常見瀏覽器的偽造字串。您可以配置User-Agent白名單或黑名單,拒絕非正常的User-Agent請求。例如,拒絕空User-Agent或不符合規範的隨機字串,您可以使用參數this-is-empty-ua和RandomString分別來表示空User-Agent和隨機字串。具體操作請參見配置UA黑白名單。
添加可疑Referer至黑名單
攻擊者在要求標頭中偽造Referer欄位,以假冒合法的引用來源,進行惡意請求。配置Referer黑白名單,允許合法的Referer訪問,防止未經授權的第三方網站連結到資源,拒絕帶有惡意Referer的請求。在規則輸入框中填寫日誌中查詢出的異常Referer,建議勾選忽略scheme。具體操作請參見配置Referer防盜鏈。
升級CDN至DCDN開通DCDN-WAF功能
建議您將網域名稱遷移至DCDN產品,並開通DCDN-WAF進行防護。DCDN為您提供集應用加速、邊緣計算和安全防護於一體的服務。DCDN-WAF可以配置IP黑白名單、頻次控制、Bot防護、CC防護、地區封鎖等多項防護規則,有效攔截惡意請求,避免大額異常流量費用產生。
將網域名稱遷移至DCDN產品,具體請參見將CDN網域名稱升級至DCDN產品。網域名稱在升級之前產生的費用由CDN產品計費,升級之後產生的費用由DCDN產品計費。
升級至DCDN後,請開通邊緣WAF功能。具體請參見開通邊緣WAF。
購買WAF資源套件。WAF使用SeCU作為費用計量單元,支援按量後付費和資源套件抵扣模式。計費詳情,請參見邊緣WAF計費(新版)。
說明新版WAF資源套件購買:點擊購買。
CC限速
參考配置自訂防護策略完成規則策略配置。
介面訪問量突增會觸發監控警示,查看即時日誌時,在被攻擊的時間段內,60秒內單IP對該介面訪問量達到3000多次;在未被攻擊時間段內,60秒內單IP訪問該介面最多隻有100次。根據未被攻擊時間段內60秒內訪問頻次的2~3倍配置CC防護策略。
您需要查看即時日誌,定位到被攻擊的資源,對比攻擊時間段和未被攻擊時間段內的訪問頻率,若存在差距可以配置該防護策略。
正常業務中伺服器通過公網介面調用資源,如果存在內網IP被集中訪問,您需要添加IP不被統計的匹配條件。
您需要根據自身業務和即時日誌中攻擊者訪問頻次,調整防護路徑和觸發防護的閾值,以下是配置案例。
配置項 | 取值樣本 | 說明 |
規則名稱 | 您自訂的規則名稱。名稱需符合:
| 表示當被請求的路徑中包含 |
匹配條件 |
| |
頻率設定 | 開啟頻率設定開關。 | 表示如果某個用戶端IP在60秒內命中匹配條件的次數超過300次,則對該IP觸發黑名單處置。 |
統計對象 | 選擇IP。 | |
統計時間長度(秒) | 輸入 | |
統計閾值(次) | 輸入 | |
響應碼 | 預設關閉。 | 表示將命中頻率檢測條件的統計對象加入黑名單,在3600秒內,對來自該對象的所有請求,執行攔截處置。 |
黑名單生效範圍 | 選擇作用於整個網域名稱。 | |
黑名單逾時(秒) | 輸入 | |
規則動作 | 選擇攔截。 |
異常UA攔截
參考配置自訂防護策略完成規則策略配置。
針對App情境,正常業務為空白UA,則無需使用該策略。
如果UA取值是App名稱,需要將UA中正常業務的App名稱加入匹配內容。
配置項 | 取值樣本 | 說明 |
規則名稱 | 您自訂的規則名稱。名稱需符合:
| 表示當請求的User-Agent中不包含 |
匹配條件 |
| |
頻率設定 | 預設關閉。 | |
規則動作 | 選擇攔截。 |
異常UA限速
參考配置自訂防護策略完成規則策略配置。
某個網域名稱或介面被攻擊者大量訪問導致DCDN流量費用突增,查看即時日誌發現訪問IP分散,但User-Agent非常集中,和正常業務不符。您可以查看未被攻擊的時間段,同一個User-Agent的訪問量遠遠低於被攻擊時間段。
您需要根據自身業務和即時日誌中攻擊者特徵和頻次,調整防護路徑和觸發防護的閾值,以下是配置案例。
配置項 | 取值樣本 | 說明 |
規則名稱 | 您自訂的規則名稱。名稱需符合:
| 表示當被請求的路徑中包含 |
匹配條件 |
| |
頻率設定 | 開啟頻率設定開關。 | 表示如果某個用戶端的請求中包含 |
統計對象 | 選擇自訂Header,輸入 | |
統計時間長度(秒) | 輸入 | |
統計閾值(次) | 輸入 | |
響應碼 | 預設關閉。 | 表示將命中頻率檢測條件的統計對象加入黑名單,在1800秒內,對來自該對象的所有請求,執行攔截處置。 |
黑名單生效範圍 | 選擇作用於整個網域名稱。 | |
黑名單逾時(秒) | 輸入 | |
規則動作 | 選擇攔截。 |
攔截異常IP
參考配置IP黑名單完成規則策略配置。
爬蟲攔截
參考配置Bot管理完成規則策略配置,根據實際需要開啟相關防護項。
後續防護
設定即時監控
設定對CDN產品下指定網域名稱的頻寬峰值監控,達到設定的頻寬峰值後將會給管理員發送警示(簡訊、郵件和DingTalk),便於更加及時地發現潛在風險。詳情請參見設定警示。
設定費用預警
您可以在控制台右上方功能表列費用選擇費用與成本,通過設定以下這三個功能來更好地控制賬戶的消費額度,避免產生過高的賬單。
可用額度預警:您可以設定賬戶餘額低於一定金額時即向您傳送簡訊警示。
啟用延停額度:您可以選擇關閉該功能,這樣在帳號欠費時會立即關閉業務,以避免產生更多消費。
高額消費預警:您可以開啟預警,設定產品日賬單大於預警閾值時將會傳送簡訊警示。
為了保證計量資料統計的完整性,確保賬單的準確性,CDN產品需要在記賬周期結束後大約3個小時才能產生實際的賬單,因此實際扣款時間與對應的資源消費時間存在一定的時延,無法通過賬單來即時反饋資源消耗情況,這是由CDN產品自身的分布式節點特性決定的,每個CDN服務商都採用類似的處理辦法。