据某论坛上一位用户反映,在使用腾讯云 CDN 服务时被恶意攻击,产生了远超预期的 CDN 费用。
这个事件给我们带来警示:在使用按量付费的服务时,一定要做好风险管控。特别是像 CDN 这类服务,攻击者的攻击门槛极低且几乎不需要什么成本,却可以大量消耗网站 CDN 流量,短时间可以产生成 G 上 T 的流量。对于中大型网站来说,为了服务的可靠性可以购买 CDN 高防产品,但对于如本博客这样的一众小型网站来说,普通的 CDN 流量费用都是一个负担,更别说上高防产品了。
那么,如果小型网站遇到了 DDOS、CC 攻击该怎么办呢?
对于远超设定流量的攻击,要么硬扛要么投降。小网站大多数都是为爱发电,遇到这种情况,放弃抵抗是最好的选择。
以腾讯云 CDN 服务为例,可以配置在 CDN 流量超过设定值时下线服务,避免恶意攻击或恶意盗刷等持续攻击带来的高额账单。为此,腾讯云官方专门用一篇文档说明:攻击风险高额账单,下面是其中重要的两部分设置。
一、访问控制
在控制台为域名针对性的开启访问控制功能,以避免产生不必要的流量带宽消耗。
| 访问控制项 | 功能说明 |
|---|---|
| 防盗链配置 | 通过对用户 HTTP Request Header 中 referer 字段的值设置访问控制策略,从而限制访问来源,避免恶意用户盗刷。 |
| IP 黑白名单配置 | 通过对用户请求端 IP 配置访问控制策略,可以有效限制访问来源,阻拦恶意 IP 盗刷、攻击等问题。 |
| IP 访问限频配置 | 通过对用户端 IP 在每一个节点每一秒钟访问次数进行限制,可进行高频 CC 攻击抵御、防恶意用户盗刷等。 |
| 鉴权配置 | 配置后,客户端在发起请求时需要按照配置计算签名并携带至服务端,CDN 节点进行服务端校验,校验通过后才继续放行。 |
| UA 黑白名单配置 | 通过对用户 HTTP 请求头中的 User-Agent 进行规则判断,按需放行或拒绝用户访问。 |
| 下行限速配置 | 腾讯云 CDN 为您提供了下行限速配置,对服务端单链接下行最大吞吐速度进行设置。 |
二、流量管理
启用流量/带宽管理的相关配置,监控域名流量或带宽的消耗情况并接收告警,及时了解流量消耗的相关信息。
| 流量管理项 | 功能说明 |
|---|---|
| 用量封顶配置 | 如果您想要限制域名的流量/带宽使用上限,可以使用用量封顶配置功能。 当统计周期(5分钟)产生的流量/带宽超出所设置阈值时,关闭 CDN 服务(全部请求返回404),以避免产生过高的账单。 |
| 腾讯云可观测平台 | 您可以使用腾讯云可观测平台的监控功能,设置对 CDN 产品下指定域名或项目的流量带宽使用情况监控,达到设定的峰值后将会给用户发送告警(短信、邮件和微信),便于更加及时地发现潜在风险。 |
| 流量包管理 | 如果您是流量计费用户,可以在控制台-流量包管理处设置告警策略,当所有有效流量包余额不足设定的比例时发送告警。 |
最后,需要了解的是,CDN 攻击可以是瞬时巨量的攻击,流量管理的相关策略可能还无法来得及反应,此时也会产生费用,但相比不加限制而造成的无底洞消耗,这个成本是完全可以接受的。
留言板