内置CDN加速具备流量检测功能。启用流量检测后,内置CDN加速能够自动针对域名的访问行为开展实时分析,识别存在异常行为的 IP 地址或 IP 地址段,并根据实际需求对异常 IP 地址或 IP 地址段执行处理动作(包括仅记录其访问行为、自动限速、自动封禁)。
说明
要使用流量检测功能,请提交工单。
什么是流量检测
内置CDN加速控制台提供了流量检测页面。在该页面,您能够为加速域名配置流量检测策略,并指定当带宽超出指定阈值时内置CDN加速应执行的处理动作。此页面可用于监测流量盗刷等问题。
在监控时间段内,如果加速域名的带宽超过阈值,内置CDN加速会识别存在盗刷行为的异常 IP/IP 段,并对监控时间段收到的来自这些 IP/IP 段的新请求执行指定的处理动作。
说明
当前内置CDN加速正在响应的请求不受影响。在文件下载或者其他引发长连接的场景中,当盗刷发生时,可能当前会存在较多内置CDN加速正在响应的用户请求。
处理延迟说明
- 自盗刷行为发生起,至内置CDN加速针对盗刷的 IP 地址及 IP 地址段执行您指定的处理操作,大约需要 15 分钟。这是因为内置CDN加速需基于日志的采集与分析来识别异常 IP 地址,且向边缘节点传达应采取的操作需要一定时间。
- 若盗刷流量的 IP 地址持续变动,对于每个新出现的异常 IP 地址,内置CDN加速约需 15 分钟方可采取相应行动。
消息接收配置
当识别到来自异常 IP 或 IP 地址段的请求时,内置CDN加速通过火山引擎站内信、邮件和短信向您设置的消息接收人发送通知。
您可以按需在 基本接收配置、语音接收配置、机器人接收配置 页面,针对 安全消息 下的 产品告警通知 选项设置消息接收人。在机器人配置中,您可以输入机器人的 webhook 添加来自飞书、钉钉、企业微信、Slack 这些平台的机器人。
使用限制
每个域名当下被限速和被封禁的 IP 地址和 IP 段数量的总和最大是 500 个。需要注意的是,该上限与 IP 黑白名单中可配置的 IP 条目上限无关。
操作步骤
流量检测 页面有以下两个标签页:
策略配置
在 策略配置 标签页,您点击 添加策略 添加一条策略。
配置说明
| 配置项 | 说明 |
|---|---|
| 关联域名 | 表示一个需要带宽监控的加速域名。您可以从列表中选择一个加速域名。每个加速域名只能配置一条策略。 |
| 预警带宽 | 表示带宽的预警阈值。设置范围:500 Mbps ~ 10,000 Gbps。单位换算关系:1 Gbps = 1000 Mbps。当关联域名的边缘请求带宽达到您指定的阈值,流量检测会自动开启。 |
检测模式 | 支持以下两种检测模式:
|
| 检测时段 | 表示每天内置CDN加速监控带宽的时间段。该配置的默认时间段是 00:00 ~ 23:59,表示全天候监控指定加速域名的带宽。 |
拦截方式 | 表示内置CDN加速对检测到的异常 IP/IP 段执行的处理动作。这些处理针对的是存在盗刷行为的异常 IP/IP 段。您可以在 检测记录 标签页获取这些处理的记录。该配置有以下选项:
说明 可能存在检测到的 IP 不是异常 IP 或者某些异常 IP 未被检测到的情况。首次配置流量检测策略时,建议您先使用 观察模式,然后在 检测记录 标签页查看内置CDN加速记录的异常 IP,判断检测结果是否符合您的预期。 |
限速值 | 表示内置CDN加速响应异常 IP 的新请求时的最大数据传输速度。设置范围:10 KB/s ~ 20 MB/s。仅支持设置为正整数。单位换算关系:1 MB/s = 1024 KB/s。
|
持续时间 | 表示内置CDN加速阻止请求或者对请求进行限速的时长,单位是天,取值范围是 1 ~ 30。
|
高危 IP 情报库 | 启用该功能后,系统将自动拒绝任何源自高危 IP 情报库内 IP 地址的访问请求,无论您在当前策略中选择了何种拦截方式。当高危 IP 情报库的记录与您设定的 IP 黑白名单发生冲突时,系统将优先执行 IP 黑白名单的规则。 注意 高危 IP 情报库是基于历史盗刷攻击行为中识别的客户端 IP 特征构建而成。由于 IP 地址的动态性及情报更新的潜在延迟,该库可能存在一定程度的不准确性,这可能导致潜在的误拦截或漏拦截情况。在启用此功能前,请您充分评估相关风险。 |
检测记录
检测记录 标签页记录了过去 60 天内内置CDN加速对异常 IP/IP 段的处理记录。每个处理记录包含一个 IP/IP 段。您可以指定过滤条件对处理记录进行过滤。
