全部產品
Search

搜尋本產品

    Edge Security Acceleration:高額賬單風險警示

    文件中心

    Edge Security Acceleration:高額賬單風險警示

    更新時間:Oct 29, 2024

    當您的網域名稱因被惡意攻擊或流量被惡意盜刷,產生了突發高頻寬或者大流量消耗,導致產生高於日常消費金額的高額賬單。因惡意攻擊或流量盜刷產生的高額賬單無法免除/退款,為盡量避免此類風險,本文為您介紹這一類情況的應對辦法。

    高額賬單的出現情境

    DCDN本質上是進行內容的加速,只具備基礎的安全防護能力,僅用於保障DCDN節點的穩定,無法保證能夠識別出所有的攻擊行為,也無法在網站被攻擊的情況下保證業務能夠穩定運行。

    出現高額賬單的情境如下:

    • 情境一:網站網域名稱被惡意攻擊

      當網站網域名稱被惡意攻擊時,DCDN幫您抵擋攻擊流量,消耗了DCDN的頻寬資源,因此您需要承擔攻擊產生的流量頻寬費用。

    • 情境二:網站被惡意盜刷流量

      如果網站被惡意盜刷流量,會導致頻寬突發增高,與網域名稱被惡意攻擊類似,實際消耗了DCDN的頻寬資源,因此您需要承擔盜刷流量產生的流量頻寬費用。

    潛在風險:惡意訪問帶來高額賬單

    • 在攻擊行為發生的時候,實際消耗了DCDN的頻寬資源,因此您需要自行承擔攻擊產生的流量頻寬費用。

    • 客戶流量被惡意盜刷而產生突髮帶寬增高的情況與被攻擊的情況類似,因為實際消耗了DCDN的頻寬資源,所以您需要自行承擔攻擊產生的流量頻寬費用。

    • 為了確保DCDN節點自身業務的穩定運行,當DCDN檢測到您的網域名稱被攻擊時,會把網域名稱切入沙箱,網域名稱被切入沙箱後將無法保證服務品質。詳細資料,請參見沙箱說明

    連帶風險:賬單金額可能會超出賬戶餘額

    網域名稱被惡意攻擊或者流量被惡意盜刷的情況下,極易出現高額賬單,連帶出現的風險是賬單金額往往會超出您的賬戶餘額。

    DCDN產品屬於隨用隨付產品,其賬單金額受計費周期(如按小時出賬,按天出賬、按月出賬等)和賬單處理時延(阿里雲DCDN產品出賬存在3~4小時延遲)等因素的影響,無法做到賬戶餘額為0的情況下立即停機,因而可能會出現欠費金額大於0,或者單條賬單的欠費金額直接超出您的延停額度範圍。

    阿里雲提供延期免停權益,如果您開啟了該服務,當您的賬戶欠費後,阿里雲會根據您的客戶等級或歷史消費等因素,提供一定額度或時間長度繼續使用雲端服務的權益,每個月自動計算並更新延停額度。

    應對方法

    • 阿里雲DCDN產品預設並不提供存取控制或者安全防護能力,阿里雲DCDN會對客戶頻寬突增情況進行檢測,如發現異常流量,則會根據客戶正常業務訪問量以及異常流量總體負載情況來評估是否對突發流量採取限流或者切沙箱等措施(不會100%觸發限流或者切沙箱,具體請參考使用限制中的“突髮帶寬/QPS限流規則”)來保障全網使用者的穩定性,由此導致的可用性問題,阿里雲不承擔責任。

    • 為保障服務的正常運行和避免出現高額賬單,建議參考本文檔開啟防護功能或者對流量進行相應的存取控制。

    開啟存取控制

    在出現異常流量突增的時候,建議您先通過分析即時日誌(參考文檔:配置即時日誌投遞),來判斷當前是由於什麼原因產生的頻寬突增,然後根據具體的原因在控制台為網域名稱針對性的開啟以下存取控制功能,以避免產生不必要的流量頻寬消耗。

    存取控制措施

    功能說明

    配置Referer防盜鏈

    常用的一種配置方法是設定Referer防盜鏈的白名單,僅允許referer為指定網域名稱(例如:與您的網站業務系統相關的網域名稱)的訪問請求,以實現對訪客的身份識別和過濾,防止網站資源被非法盜用。詳細請參見配置Referer防盜鏈

    配置URL鑒權

    URL鑒權功能通過阿里雲DCDN節點與您的資來源站點點配合,能夠形成更為安全可靠的來源站點資源防盜方法。詳細請參見配置URL鑒權

    配置IP黑白名單

    惡意攻擊或者流量突增行為發生以後,您可以通過配置即時日誌投遞功能查看當前是否存在訪問較為高頻的IP地址,如果識別出惡意IP地址,那麼您可以使用IP黑白名單功能封鎖這些惡意IP地址。詳細請參見配置IP黑白名單

    配置UA黑白名單

    惡意攻擊或者流量突增行為發生以後,您可以通過配置即時日誌投遞功能查看當前惡意訪問行為是否來自某些特定的User-Agent,如果識別出特定的User-Agent,那麼您可以使用UA黑白名單功能實現對惡意訪問行為的封鎖。詳細請參見配置User-Agent黑白名單

    開啟流量管理

    建議您使用CloudMonitor產品設定產品層級或者網域名稱層級的頻寬監控規則(參考文檔:設定警示),及時瞭解流量或者頻寬的使用方式並發送異常警示。在出現異常頻寬突增的情況下,還可以給網域名稱配置頻寬限速、請求限速等策略。

    流量管理項

    功能說明

    設定頻寬限速

    如果您需要對網域名稱使用的阿里雲DCDN頻寬做限速,在滿足日頻寬峰值大於10 Gbps的情況下,可以提交工單申請後台配置。

    重要

    • 頻寬限速設定的是加速網域名稱的全網總頻寬上限,考慮到限速的精確性,頻寬限速值必須大於等於10 Gbps。

    • 達到頻寬上限(例如:10 Gbps)之後,DCDN將會對加速網域名稱限速,限速之後使用者的訪問速度會變慢(每個請求的訪問速度都會降低),也可能會出現丟包。

    • 由於頻寬限速是通過加速網域名稱的即時監控資料來觸發的,而加速網域名稱的即時監控資料存在一定延遲(大約10分鐘),因此加速網域名稱的實際頻寬達到限速閾值大約10分鐘後,網域名稱才會被限速(此時加速網域名稱的實際頻寬很可能會大於限速閾值)。

    設定即時監控

    如果您要即時監控網域名稱的頻寬峰值,可以使用CloudMonitor產品的雲產品監控功能,設定對DCDN產品下指定網域名稱的頻寬峰值監控,達到設定的頻寬峰值後將會給管理員發送警示(簡訊、郵件和DingTalk),便於更加及時地發現潛在風險。詳細請參見CloudMonitor產品詳情頁

    設定費用預警

    您可以在控制台右上方功能表列費用選擇使用者中心,通過設定以下這三個功能來更好地控制賬戶的消費額度,避免產生過高的賬單。

    • 可用額度預警:您可以設定賬戶餘額低於一定金額的時候就給您傳送簡訊警示。

    • 啟用延停額度:您可以選擇關閉該功能,這樣在帳號欠費時會立即關閉業務,以避免產生更多消費。

    • 高額消費預警:您可以開啟預警,設定產品日賬單大於預警閾值時將會傳送簡訊警示。

    說明

    為了保證計量資料統計的完整性,確保賬單的準確性,DCDN產品需要在記賬周期結束後大約3個小時才能產生實際的賬單,因此實際扣款時間與對應的資源消費時間存在一定的時延,無法通過賬單來即時反饋資源消耗情況,這是由DCDN產品自身的分布式節點特性決定的,每個DCDN服務商都採用類似的處理辦法。