高額賬單風(fēng)險(xiǎn)警示
當(dāng)您的域名因被惡意攻擊或流量被惡意盜刷,產(chǎn)生了突發(fā)高帶寬或者大流量消耗,導(dǎo)致產(chǎn)生高于日常消費(fèi)金額的高額賬單。因惡意攻擊或流量盜刷產(chǎn)生的高額賬單無法免除/退款,為盡量避免此類風(fēng)險(xiǎn),本文為您介紹這一類情況的應(yīng)對(duì)辦法。
高額賬單的出現(xiàn)場(chǎng)景
DCDN本質(zhì)上是進(jìn)行內(nèi)容的加速,只具備基礎(chǔ)的安全防護(hù)能力,僅用于保障DCDN節(jié)點(diǎn)的穩(wěn)定,無法保證能夠識(shí)別出所有的攻擊行為,也無法在網(wǎng)站被攻擊的情況下保證業(yè)務(wù)能夠穩(wěn)定運(yùn)行。
出現(xiàn)高額賬單的場(chǎng)景如下:
場(chǎng)景一:網(wǎng)站域名被惡意攻擊
當(dāng)網(wǎng)站域名被惡意攻擊時(shí),DCDN幫您抵擋攻擊流量,消耗了DCDN的帶寬資源,因此您需要承擔(dān)攻擊產(chǎn)生的流量帶寬費(fèi)用。
場(chǎng)景二:網(wǎng)站被惡意盜刷流量
如果網(wǎng)站被惡意盜刷流量,會(huì)導(dǎo)致帶寬突發(fā)增高,與域名被惡意攻擊類似,實(shí)際消耗了DCDN的帶寬資源,因此您需要承擔(dān)盜刷流量產(chǎn)生的流量帶寬費(fèi)用。
潛在風(fēng)險(xiǎn):惡意訪問帶來高額賬單
在攻擊行為發(fā)生的時(shí)候,實(shí)際消耗了DCDN的帶寬資源,因此您需要自行承擔(dān)攻擊產(chǎn)生的流量帶寬費(fèi)用。
客戶流量被惡意盜刷而產(chǎn)生突發(fā)帶寬增高的情況與被攻擊的情況類似,因?yàn)閷?shí)際消耗了DCDN的帶寬資源,所以您需要自行承擔(dān)攻擊產(chǎn)生的流量帶寬費(fèi)用。
為了確保DCDN節(jié)點(diǎn)自身業(yè)務(wù)的穩(wěn)定運(yùn)行,當(dāng)DCDN檢測(cè)到您的域名被攻擊時(shí),會(huì)把域名切入沙箱,域名被切入沙箱后將無法保證服務(wù)質(zhì)量。詳細(xì)信息,請(qǐng)參見沙箱說明。
連帶風(fēng)險(xiǎn):賬單金額可能會(huì)超出賬戶余額
域名被惡意攻擊或者流量被惡意盜刷的情況下,極易出現(xiàn)高額賬單,連帶出現(xiàn)的風(fēng)險(xiǎn)是賬單金額往往會(huì)超出您的賬戶余額。
DCDN產(chǎn)品屬于按量付費(fèi)產(chǎn)品,其賬單金額受計(jì)費(fèi)周期(如按小時(shí)出賬,按天出賬、按月出賬等)和賬單處理時(shí)延(阿里云DCDN產(chǎn)品出賬存在3~4小時(shí)延遲)等因素的影響,無法做到賬戶余額為0的情況下立即停機(jī),因而可能會(huì)出現(xiàn)欠費(fèi)金額大于0,或者單條賬單的欠費(fèi)金額直接超出您的延停額度范圍。
阿里云提供延期免停權(quán)益,如果您開啟了該服務(wù),當(dāng)您的賬戶欠費(fèi)后,阿里云會(huì)根據(jù)您的客戶等級(jí)或歷史消費(fèi)等因素,提供一定額度或時(shí)長(zhǎng)繼續(xù)使用云服務(wù)的權(quán)益,每個(gè)月自動(dòng)計(jì)算并更新延停額度。更多信息,請(qǐng)參見延期免停權(quán)益。
針對(duì)新注冊(cè)用戶,延停權(quán)益默認(rèn)關(guān)閉,關(guān)閉延停權(quán)益情況下的產(chǎn)品欠費(fèi)/停機(jī)邏輯流程:
示例:客戶A,使用按流量計(jì)費(fèi)(按小時(shí)出賬)的DCDN服務(wù),A關(guān)閉了延停權(quán)益,賬戶余額1000元。02月01日15:00~16:00之間,客戶流量突增,02月01日19:00左右出賬(15:00~16:00時(shí)間段的小時(shí)流量賬單)金額為5000元,系統(tǒng)結(jié)算后欠費(fèi)4000元,則DCDN進(jìn)入停服處理流程,并且停服以后還會(huì)輸出16:00~17:00、17:00~18:00、18:00~19:00這三個(gè)時(shí)間段的賬單,最后賬戶的欠費(fèi)金額很可能還會(huì)大于4000元。
您可以手動(dòng)開啟延停權(quán)益,開啟延停權(quán)益情況下的產(chǎn)品欠費(fèi)/停機(jī)邏輯流程:
示例:還是以上面的A客戶為例,假設(shè)A客戶開啟了延停權(quán)益,有500元的延停額度,最終在02月01日19:00左右出賬(15:00~16:00時(shí)間段的小時(shí)流量賬單)的時(shí)候,依然會(huì)因?yàn)榍焚M(fèi)而進(jìn)入DCDN停服處理流程(欠費(fèi)金額4000元大于延停額度500元)。
應(yīng)對(duì)方法
阿里云DCDN產(chǎn)品默認(rèn)并不提供訪問控制或者安全防護(hù)能力,阿里云DCDN會(huì)對(duì)客戶帶寬突增情況進(jìn)行檢測(cè),如發(fā)現(xiàn)異常流量,則會(huì)根據(jù)客戶正常業(yè)務(wù)訪問量以及異常流量總體負(fù)載情況來評(píng)估是否對(duì)突發(fā)流量采取限流或者切沙箱等措施(不會(huì)100%觸發(fā)限流或者切沙箱,具體請(qǐng)參考使用限制中的“突發(fā)帶寬/QPS限流規(guī)則”)來保障全網(wǎng)用戶的穩(wěn)定性,由此導(dǎo)致的可用性問題,阿里云不承擔(dān)責(zé)任。
為保障服務(wù)的正常運(yùn)行和避免出現(xiàn)高額賬單,建議參考本文檔開啟防護(hù)功能或者對(duì)流量進(jìn)行相應(yīng)的訪問控制。
開啟訪問控制
在出現(xiàn)異常流量突增的時(shí)候,建議您先通過分析實(shí)時(shí)日志(參考文檔:配置實(shí)時(shí)日志投遞),來判斷當(dāng)前是由于什么原因產(chǎn)生的帶寬突增,然后根據(jù)具體的原因在控制臺(tái)為域名針對(duì)性的開啟以下訪問控制功能,以避免產(chǎn)生不必要的流量帶寬消耗。
訪問控制措施 | 功能說明 |
配置Referer防盜鏈 | 常用的一種配置方法是設(shè)置Referer防盜鏈的白名單,僅允許referer為指定域名(例如:與您的網(wǎng)站業(yè)務(wù)系統(tǒng)相關(guān)的域名)的訪問請(qǐng)求,以實(shí)現(xiàn)對(duì)訪客的身份識(shí)別和過濾,防止網(wǎng)站資源被非法盜用。詳細(xì)請(qǐng)參見配置Referer防盜鏈。 |
配置URL鑒權(quán) | URL鑒權(quán)功能通過阿里云DCDN節(jié)點(diǎn)與您的資源站點(diǎn)配合,能夠形成更為安全可靠的源站資源防盜方法。詳細(xì)請(qǐng)參見配置URL鑒權(quán)。 |
配置IP黑白名單 | 惡意攻擊或者流量突增行為發(fā)生以后,您可以通過配置實(shí)時(shí)日志投遞功能查看當(dāng)前是否存在訪問較為高頻的IP地址,如果識(shí)別出惡意IP地址,那么您可以使用IP黑白名單功能封禁這些惡意IP地址。詳細(xì)請(qǐng)參見配置IP黑白名單。 |
配置UA黑白名單 | 惡意攻擊或者流量突增行為發(fā)生以后,您可以通過配置實(shí)時(shí)日志投遞功能查看當(dāng)前惡意訪問行為是否來自某些特定的User-Agent,如果識(shí)別出特定的User-Agent,那么您可以使用UA黑白名單功能實(shí)現(xiàn)對(duì)惡意訪問行為的封禁。詳細(xì)請(qǐng)參見配置User-Agent黑白名單。 |
開啟流量管理
建議您使用云監(jiān)控產(chǎn)品設(shè)置產(chǎn)品級(jí)別或者域名級(jí)別的帶寬監(jiān)控規(guī)則(參考文檔:設(shè)置報(bào)警),及時(shí)了解流量或者帶寬的使用情況并發(fā)送異常告警。在出現(xiàn)異常帶寬突增的情況下,還可以給域名配置帶寬限速、請(qǐng)求限速等策略。
流量管理項(xiàng) | 功能說明 |
設(shè)置帶寬限速 | 如果您需要對(duì)域名使用的阿里云DCDN帶寬做限速,在滿足日帶寬峰值大于10 Gbps的情況下,可以填寫信息申請(qǐng)后臺(tái)配置。 重要
|
設(shè)置實(shí)時(shí)監(jiān)控 | 如果您要實(shí)時(shí)監(jiān)控域名的帶寬峰值,可以使用云監(jiān)控產(chǎn)品的云產(chǎn)品監(jiān)控功能,設(shè)置對(duì)DCDN產(chǎn)品下指定域名的帶寬峰值監(jiān)控,達(dá)到設(shè)定的帶寬峰值后將會(huì)給管理員發(fā)送告警(短信、郵件和釘釘),便于更加及時(shí)地發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。詳細(xì)請(qǐng)參見云監(jiān)控產(chǎn)品詳情頁。 |
設(shè)置費(fèi)用預(yù)警 | 您可以在控制臺(tái)右上方菜單欄費(fèi)用選擇費(fèi)用與成本,通過設(shè)置以下這三個(gè)功能來更好地控制賬戶的消費(fèi)額度,避免產(chǎn)生過高的賬單。
說明 為了保證計(jì)量數(shù)據(jù)統(tǒng)計(jì)的完整性,確保賬單的準(zhǔn)確性,DCDN產(chǎn)品需要在記賬周期結(jié)束后大約3個(gè)小時(shí)才能生成實(shí)際的賬單,因此實(shí)際扣款時(shí)間與對(duì)應(yīng)的資源消費(fèi)時(shí)間存在一定的時(shí)延,無法通過賬單來實(shí)時(shí)反饋資源消耗情況,這是由DCDN產(chǎn)品自身的分布式節(jié)點(diǎn)特性決定的,每個(gè)DCDN服務(wù)商都采用類似的處理辦法。 |
開啟防護(hù)功能
如果以上的訪問控制功能和流量管理功能依然無法滿足您的需求,DCDN產(chǎn)品也具有更強(qiáng)大的整體安全防護(hù)能力,提供DDoS防護(hù)和WAF防護(hù)功能。
攻擊類型 | 場(chǎng)景概述 | 防護(hù)措施 |
DDoS攻擊 | Web應(yīng)用層攻擊主要是指HTTP Get Flood、HTTP Post Flood、CC等攻擊。 通常應(yīng)用層攻擊完全模擬用戶請(qǐng)求,類似于各種搜索引擎和爬蟲一樣,這些攻擊行為和正常的業(yè)務(wù)并沒有嚴(yán)格的邊界,難以辨別。 Web服務(wù)中一些資源消耗較大的事務(wù)和頁面。例如,Web應(yīng)用中的分頁和分表,如果控制頁面的參數(shù)過大,頻繁的翻頁將會(huì)占用較多的Web服務(wù)資源。尤其在高并發(fā)頻繁調(diào)用的情況下,類似這樣的事務(wù)就成了早期CC攻擊的目標(biāo)。 由于現(xiàn)在的攻擊大都是混合型的,因此模擬用戶行為的頻繁操作都可以被認(rèn)為是CC攻擊。例如,各種刷票軟件對(duì)網(wǎng)站的訪問,從某種程度上來說就是CC攻擊。 CC攻擊瞄準(zhǔn)的是Web應(yīng)用的后端業(yè)務(wù),除了導(dǎo)致拒絕服務(wù)外,還會(huì)直接影響Web應(yīng)用的功能和性能,包括Web響應(yīng)時(shí)間、數(shù)據(jù)庫(kù)服務(wù)、磁盤讀寫等。 | 建議您將域名遷移至阿里云DCDN產(chǎn)品,并開通DDoS防護(hù),DCDN的DDoS防護(hù)支持最高Tbps級(jí)別的大流量DDoS攻擊清洗,保障您的業(yè)務(wù)正常運(yùn)行;同時(shí)也支持智能CC攻擊防護(hù)。詳細(xì)請(qǐng)參見防護(hù)配置。 |
流量盜刷 |
| 建議您將域名遷移至阿里云DCDN產(chǎn)品,并開通邊緣WAF防護(hù),DCDN的邊緣WAF防護(hù)支持配置頻次控制和Bot防護(hù),有效攔截惡意請(qǐng)求,避免產(chǎn)生大額異常流量費(fèi)用。詳細(xì)請(qǐng)參見邊緣WAF概述(新版)。 |