You need to enable JavaScript to run this app.
导航
内容分发网络
  • 文档首页
    • /内容分发网络/用户指南/安全运营/流量安全/流量检测
流量检测
最近更新时间:2025.11.19 14:39:15首次发布时间:2024.10.09 20:34:02
复制全文
我的收藏
有用
有用
无用
无用

火山引擎内容分发网络(CDN)控制台提供了 流量检测 能力。在该页面中,您可以为加速域名配置监控策略,指定当带宽超过指定阈值时 CDN 的操作。您可以使用该页面来监测流量盗刷等问题。
Image
在监控时间段内,如果加速域名的带宽超过阈值,CDN 会识别存在盗刷行为的 IP 地址和 IP 地址段,并对监控时间段收到的来自这些 IP 地址的请求执行指定的操作(当前 CDN 正在响应的请求不受影响)。同时,CDN 会通过站内信、邮件和短信向您设置的消息接收人发送通知。

您可以按需在 基本配置语音接收配置机器人接收配置 页面中,在 安全消息 下对 产品告警通知 设置消息接收人。温馨提示,在机器人配置中,您可以输入机器人的 webhook 添加来自飞书、钉钉、企业微信、Slack 这些平台的机器人。
Image

说明

  • 要访问该页面,请 提交工单
  • 检测的间隔时间是 5 分钟。
  • 从盗刷发生到 CDN 针对盗刷 IP 地址采取您指定的操作,大约需要 15 分钟。原因是 CDN 基于日志采集与分析识别盗刷 IP 地址,指示边缘节点应采取的操作需要一定的时间。
  • 如果盗刷流量的 IP 地址不断变化,针对每个新的盗刷 IP 地址,CDN 需要大约 15 分钟才能采取行动。
  • 在文件下载或者其他引发长连接的场景中,当盗刷发生时,可能当前会存在较多 CDN 正在响应的用户请求。
  • 每个域名当下被限速和被封禁的 IP 地址和 IP 段数量的总和最大是 500 个。需要注意的是,该上限与 "IP 黑白名单" 中可配置的 IP 条目上限无关。
  • 可能存在检测到的 IP 不是盗刷 IP 或者某些盗刷 IP 未被检测到的情况。首次使用该页面时,建议您先使用观察模式(参见下方 "拦截方式" 配置的描述),然后在 防护记录 标签页查看 CDN 记录的盗刷 IP,判断检测结果是否符合您的预期。

策略配置

Image
流量检测 标签页,点击 添加策略 添加一条策略。
Image

配置说明

配置

说明

关联域名

表示一个需要带宽监控的加速域名。您可以从列表中选择一个加速域名。每个加速域名只能配置一条策略。

预警带宽

表示带宽的预警阈值,范围是 500Mbps - 10,000Gbps,默认值是 2Gbps。1Gbps = 1,000Mbps。

检测模式

表示 CDN 判断盗刷的方式。

  • 严格模式:表示 CDN 根据各节点的响应流量,也就是全局响应流量,进行综合判断。在该模式下,即使单个节点的响应流量正常,但是全局响应流量异常,CDN 就会对识别出有问题的 IP 地址或 IP 地址段执行您指定的操作。
  • 宽松模式:表示 CDN 仅根据单个节点的响应流量进行判断。在此模式下,只有当单个节点的响应流量异常时,CDN 才会执行您指定的操作。

默认的模式是严格模式。

检测时段

表示每天 CDN 监控带宽的时间段。该配置的默认时间段是 00:00 - 23:59,表示全天候监控指定加速域名的带宽。

拦截方式

表示当指定加速域名的带宽达到该阈值时,CDN 执行的操作。这些操作针对的是存在盗刷行为的那些 IP 地址和 IP 地址段。您可以在 防护记录 标签页获取这些操作的记录。该配置有以下选项:

  • 观察模式:表示 CDN 仅记录这些 IP 地址和 IP 地址段。
  • 自动限速:表示 CDN 基于 限速大小 配置对来自这些 IP 地址的新请求进行限速。
  • 自动封禁:表示 CDN 阻止来自这些 IP 地址的新请求。对于被阻止的请求,CDN 的响应状态码是 403。

限速值

表示 CDN 响应用户请求时的最大数据传输速度,取值范围是 10KB/s - 20MB/s,默认值是 10KB/s。1MB/s = 1,024KB/s。

仅当 拦截方式自动限速 时,该配置会出现。

持续时间

表示 CDN 阻止请求或者对请求进行限速的时长,单位是天,取值范围是 1 -30,默认值是 7。

仅当 拦截方式自动限速自动封禁 时,该配置会出现。

高危 IP 情报库

CDN 维护了一个高危 IP 情报库。该情报库包含了 CDN 历史检测到的存在盗刷行为的 IP 地址和 IP 地址段。由于情报库的更新存在延迟,其中的数据不保证完全准确。如果您启用了高危 IP 情报库,无论您指定何种 拦截方式,CDN 始终会拒绝来自该情报库中 IP 地址或 IP 地址段的用户请求。

说明

IP 黑白名单的优先级高于高危 IP 情报库。如果一个 IP 地址或 IP 地址段同时存在于高危 IP 情报库和您配置的 IP 黑白名单中,IP 黑白名单的设置将优先生效。

防护记录

防护记录 标签页记录了过去 60 天内 CDN 的检测记录。每个记录包含检测到的存在盗刷行为的 IP 地址和 IP 地址段。您可以指定过滤条件对检测记录进行过滤。

Image

查看统计数据

对于每条检测记录,您可以查看相应域名的统计数据。数据延时约为 5-10 分钟。点击 统计数据 列的统计图标,打开 统计数据 页面。该页面包含两个标签页,分别是 数据监控 和 TOP 特征。
数据监控
在该标签页上,您可以指定统计时间段,查看域名的以下统计数据:

  • 访问该域名的 IP 和 IP 段排行。您可以按流量和请求数对 IP 以及 IP 段进行排序。
  • 基于省份和运营商统计的带宽,请求数和 CDN 响应状态码数量趋势。

Image
TOP 特征
在该标签页上,您可以针对检测到的盗刷 IP 或 IP 段查看按流量和请求数统计的 TOP 10 URL、TOP 10 UA 以及 TOP 10 Referer。该页面使用固定的统计时间段,精确到秒。统计时间段的开始时间为 CDN 识别到盗刷 IP 的时间的前 15 分钟,结束时间为 CDN 识别到盗刷 IP 的时间。
Image

解除拦截

对于 拦截策略 不是 观察模式 的记录,您可以按需解除您判断为无需阻止的 IP 地址和 IP 地址段。在 操作 列点击 解除拦截,然后选择需要解除拦截的 IP 地址和 IP 地址段即可。
Image

检测记录下载

另外,您可以点击下载按钮下载列表中展示的检测记录。下载文件的命名规范是 CDN_FlowDetection_.csv。 表示文件的下载时间。
Image