全站加速
全站加速
- 文档首页
全站加速用户指南安全防护流量检测
文档反馈
问问助手功能概览
火山引擎全站加速(DCDN)提供了流量检测功能,帮助您抵御流量盗刷。您可以设定一个带宽阈值,当指定的加速域名消耗的带宽超过阈值时,系统可以识别出存在盗刷行为的 IP 地址或地址段,并采取相应措施。
如需使用流量检测功能,请提交工单。
使用限制
从盗刷行为发生到 DCDN 针对盗刷 IP 地址执行指定操作,大约需要 15 分钟。如果有来自新的 IP 地址的盗刷行为发生,从盗刷行为发生到针对这些 IP 地址执行指定操作,也需要约 15 分钟。这是因为 DCDN 通过采集并分析日志来识别盗刷 IP 地址,这个过程需要一定时间。
在文件下载或者其他引发长连接的场景中,当盗刷行为发生时,可能会存在较多 DCDN 正在响应的用户请求。
在某一时间点,DCDN 能实施限速或封禁的 IP 地址或 IP 段的最大数量是 500 个。需要注意的是,该上限与基于IP的访问控制中可配置的 IP 条目上限无关。
可能存在检测到的 IP 不是盗刷 IP 或者某些盗刷 IP 未被检测到的情况。首次使用流量检测功能时,建议您先使用观察模式(参见下方“拦截方式”配置的描述),然后在 “检测记录” 页面查看 DCDN 检出的盗刷 IP,判断检测结果是否符合您的预期。
配置检测策略
登录全站加速控制台。
点击左侧导航栏,点击 安全防护 > 流量检测。
在 策略配置 标签页,您点击 添加策略 添加一条策略。
在 新增策略 表单中,根据下方的“配置详情”填写配置信息,然后点击 确定。
配置详情
| 配置 | 描述 |
|---|---|
| 策略名称 | 关于检测策略的描述性文字,方便您识别和管理检测策略。 |
| 加速域名 | 需要流量检测的加速域名。您可以从列表中选择一个加速域名。每个加速域名只能配置一条检测策略。 |
预警带宽 | 带宽的预警阈值。
说明 带宽计算的采样以 5 分钟为颗粒度。以5分钟周期内的流量除以单位时间得出带宽。 |
| 检测时段 | 每天 DCDN 监控带宽的时间段。该配置的默认时间段是 00:00 - 23:59,即为全天候监测指定加速域名的带宽。 |
拦截方式 | 当指定加速域名的带宽达到该阈值时系统执行的操作。执行的操作仅针对系统识别的存在盗刷行为的 IP 地址和 IP 地址段。
|
限速大小 | 当 拦截方式 为 自动限速 时,表示 DCDN 响应用户请求时的最大数据传输速度。
|
持续时长 | 当 拦截方式 为 自动限速 或 自动封禁 时,表示 DCDN 阻止请求或者对请求进行限速的时长。
|
查看检测记录
查看所有检测记录
检测记录 标签页记录了过去 60 天内 DCDN 的操作记录。每个操作记录包含一个 IP 地址或 IP 地址段。您可以指定筛选条件对操作记录进行筛选。
查看单条策略对应的检测记录
在某条检测策略的 操作 列,您可以点击 检测记录,查看该检测策略对应的检测记录。
查看检出的IP地址
在每一条检测记录的 监控 列,您可以点击图标来查看检测记录的详细信息,包括:详细IP地址、IP归属信息、IP产生的流量。
您可以选择时间范围,查看各个IP在某时间段的流量。您可以查看7天以内的流量数据,时间段跨度不能超过2小时。
解除限速或封禁
如果您发现某个被限速或封禁的IP或IP段为误报,您可以手动为其解除限速或封禁。具体操作如下:
- 找到需要解除限速或封禁的检测记录,在 操作 列点击 解除拦截。
- 点击 确定 完成解除拦截操作。解除拦截后,该检测记录的 拦截状态 变为 已失效。
变更检测策略
当您更改检测策略的 拦截策略、限速大小 或 持续时长 时,已经被该策略检出的 IP 地址并不会受该变更的影响。例如:如果您将某策略的 拦截策略 从 观察模式 改为 自动封禁,已经被该策略检出的 IP 并不会立即被封禁。