防止 CDN 因 DDOS 攻击等产生高额账单

 原创    2023-08-10

在使用按量付费的服务时,一定要做好风险管控。像 CDN 这类服务,攻击者的攻击门槛极低且几乎不需要什么成本,却可以大量消耗网站 CDN 流量。

据某论坛上一位用户反映,在使用腾讯云 CDN 服务时被恶意攻击,产生了远超预期的 CDN 费用。

CDN DDOS攻击

这个事件给我们带来警示:在使用按量付费的服务时,一定要做好风险管控。特别是像 CDN 这类服务,攻击者的攻击门槛极低且几乎不需要什么成本,却可以大量消耗网站 CDN 流量,短时间可以产生成 G 上 T 的流量。对于中大型网站来说,为了服务的可靠性可以购买 CDN 高防产品,但对于如本博客这样的一众小型网站来说,普通的 CDN 流量费用都是一个负担,更别说上高防产品了。

那么,如果小型网站遇到了 DDOS、CC 攻击该怎么办呢?

对于远超设定流量的攻击,要么硬扛要么投降。小网站大多数都是为爱发电,遇到这种情况,放弃抵抗是最好的选择。

以腾讯云 CDN 服务为例,可以配置在 CDN 流量超过设定值时下线服务,避免恶意攻击或恶意盗刷等持续攻击带来的高额账单。为此,腾讯云官方专门用一篇文档说明:攻击风险高额账单,下面是其中重要的两部分设置。

一、访问控制

在控制台为域名针对性的开启访问控制功能,以避免产生不必要的流量带宽消耗。

访问控制项功能说明
防盗链配置通过对用户 HTTP Request Header 中 referer 字段的值设置访问控制策略,从而限制访问来源,避免恶意用户盗刷。
IP 黑白名单配置通过对用户请求端 IP 配置访问控制策略,可以有效限制访问来源,阻拦恶意 IP 盗刷、攻击等问题。
IP 访问限频配置通过对用户端 IP 在每一个节点每一秒钟访问次数进行限制,可进行高频 CC 攻击抵御、防恶意用户盗刷等。
鉴权配置配置后,客户端在发起请求时需要按照配置计算签名并携带至服务端,CDN 节点进行服务端校验,校验通过后才继续放行。
UA 黑白名单配置通过对用户 HTTP 请求头中的 User-Agent 进行规则判断,按需放行或拒绝用户访问。
下行限速配置腾讯云 CDN 为您提供了下行限速配置,对服务端单链接下行最大吞吐速度进行设置。

二、流量管理

启用流量/带宽管理的相关配置,监控域名流量或带宽的消耗情况并接收告警,及时了解流量消耗的相关信息。

流量管理项功能说明
用量封顶配置如果您想要限制域名的流量/带宽使用上限,可以使用用量封顶配置功能。 当统计周期(5分钟)产生的流量/带宽超出所设置阈值时,关闭 CDN 服务(全部请求返回404),以避免产生过高的账单。
腾讯云可观测平台您可以使用腾讯云可观测平台的监控功能,设置对 CDN 产品下指定域名或项目的流量带宽使用情况监控,达到设定的峰值后将会给用户发送告警(短信、邮件和微信),便于更加及时地发现潜在风险。
流量包管理如果您是流量计费用户,可以在控制台-流量包管理处设置告警策略,当所有有效流量包余额不足设定的比例时发送告警。

最后,需要了解的是,CDN 攻击可以是瞬时巨量的攻击,流量管理的相关策略可能还无法来得及反应,此时也会产生费用,但相比不加限制而造成的无底洞消耗,这个成本是完全可以接受的。

相关文章:

腾讯云 CDN 的 X-Cache-Lookup
使用CDN提升网站访问速度
net::ERR_HTTP2_PROTOCOL_ERROR

发表留言

您的电子邮箱地址不会被公开,必填项已用*标注。发布的留言可能不会立即公开展示,请耐心等待审核通过。