近期,我们监测到部分用户的 CDN 域名遭受恶意的流量盗刷。流量盗刷主要针对视频、安装包等大文件。发起攻击的 IP 地址会高频请求此类文件,使 CDN 流量大增,产生超预期的高额账单,甚至引发欠费导致的停服。对于此类事件造成的高额账单,我们无法免除或退款,对此我们深感抱歉。为降低此类风险,您可以根据本文的指导采取一定的预防措施。
高额账单
内容分发网络对缓存节点向用户传输的数据量或者对应的带宽进行计费。当恶意攻击或者盗刷发生时,这些事件会使您的域名传输额外的流量。您需要自行承担因这些事件产生的流量或带宽费用。
服务暂停
当恶意攻击或盗刷导致金额高于常规或超出预期的账单时,您的账号可能会因此欠费。欠费发生后,如果 24 小时内您的账号未充值,您的加速域名会被停用。
为了降低您域名被攻击或盗刷的风险,我们建议您采取以下防范措施。
您可以在火山引擎云监控中对内容分发网络的用量进行监控,以及时检测到异常的流量和带宽。同时,您可以在费用中心设置账单监控和账号余额监控,以降低被攻击或盗刷时造成的损失。如果您购买了资源包,您可以对资源包设置余量提醒。
| 预警能力 | 说明 |
|---|---|
| 云监控 | 您可以使用云监控对域名传输的流量和对应的带宽进行监控并设置告警策略。您可以指定通过短信,邮件和微信收到告警。 |
在 账号总览 页面中,您可以设置账单消费预警和可用额度预警。这样您可以及时知晓消费异常。
| |
如果您购买了资源包,您可以在 资源实例管理 页面中的右上方点击 余量预警,然后设置资源包的余量预警。这样您可以及时知晓资源包的用量异常。
|
说明
实时日志投递会产生额外费用。参见 实时日志计费。
一旦检测到异常的流量和带宽,您可以通过您配置的日志检索分析原因,找到恶意攻击或者盗刷事件的特征。例如恶意请求是来自特定国家或地区,发生于特定时间段,或者来自特定范围的 IP 地址。
基于您确定的恶意请求的特征,您可以配置访问控制规则对这类请求进行拦截。这些配置不会产生费用,但可以有效降低风险。
| 配置 | 说明 |
|---|---|
| 配置 Referer 防盗链 | 对请求来源的 Referer 字段进行过滤。只允许来自特定页面的请求访问您的内容。 |
| 配置 Origin 防盗链 | 对请求来源的 Origin 字段进行过滤。只允许来自特定域名的请求访问您的内容。 |
| 配置 UA 黑白名单 | 对请求头的 User-Agent 字段进行过滤。只允许包含特定 UA 的请求访问您的内容。 |
| 配置 IP 黑白名单 | 对用户的 IP 进行过滤。只允许特定 IP 的用户访问您的内容。 |
| 配置 URL 鉴权 | 使用时间戳防盗链技术对源站内容的 URL 进行加密。同时对请求进行鉴权。只有通过鉴权的请求才能访问源站的内容。支持四种常见的鉴权方式。 |
| 配置远程鉴权 | 如果您的站点有独立的鉴权服务器对用户请求进行鉴权,您可以在内容分发网络中配置远程鉴权。 |
| 地域访问限制 | 限制来自特定地域的访问请求。 |
| 禁用 HTTP 请求方法 | 在内容分发网络配置禁止的请求方法。如果用户使用这些请求方法访问内容分发网络,会收到 405 响应状态码。 |
| 配置下载限速 | 对单个请求配置下载速度上限。在该配置中,您可以指定限速启用的时间段。 |
| 自定义拦截规则 | 对请求路径、查询参数和客户端 IP 地址设置过滤条件,拦截特定的请求。 |