如何避免CDN被恶意攻击和恶意刷流量

概述

本文主要介绍为防止阿里云CDN被恶意攻击、流量被恶意盗刷，如何防护CDN遭受攻击，提高服务质量，尽可能减少您在受到攻击时产生的费用。

详细信息

阿里云CDN会对客户带宽突增情况进行检测，如发现异常流量，则会综合考虑客户正常业务访问量以及潜在遭受攻击流量上升情况对突发流量进行处置，阿里云CDN通过该处置方法尽可能减少您在受到攻击时产生的费用。但是，因为攻击仍会消耗CDN带宽资源，所以您需要自行承担流量突增产生的流量带宽费用。为防止您的服务的正常运行和避免高额账单的出现，可以按照以下方案添加防护措施：

开启防护功能

为保障服务的正常运行和避免高额账单的出现，建议您根据攻击类型开启防护功能：

说明：如果需要开通频次控制和CDN联动DDoS功能，请提交工单，目前需要阿里云后台人员审核确认之后才能开通。

• CC攻击
  如果您的网站因遭受恶意CC攻击导致响应缓慢，可通过频次控制功能提供的默认策略或自定义策略来拦截恶意流量，秒级阻断访问该网站的所有请求，提升网站的安全性，详情请参见频次控制。
• DDoS攻击
  帮助您的加速域名更好地防御DDoS攻击，阿里云CDN推出联动DDoS高防功能，建议您可以选择申请开启CDN联动DDoS功能。详细请参见配置CDN联动DDoS高防。
• 流量盗刷
  您可以通过设置Referer防盗链、URL鉴权、远程鉴权、以及IP黑白名单、User-Agent黑白名单来实现对访客身份的识别和过滤，从而限制访问CDN资源的用户，提升CDN的安全性，以避免产生不必要的流量带宽消耗，详情请参见访问控制功能。

开启流量管理

为保障服务的正常运行和避免高额账单的出现，建议您对设置带宽上限、设置带宽限速、设置实时监控、设置费用预警，详情请参见高额账单风险警示。

开通SCDN产品

如果您的业务有潜在的被攻击风险，建议开通SCDN产品，SCDN产品有更强大的整体安全防护能力，详情请参见安全加速SCDN。

域名切入沙箱

当您的域名遭受攻击时，CDN系统会自动将您的域名切入沙箱。当您的域名进入沙箱后，服务质量不再保证且无法恢复。您可以根据自身是否有防攻击的需求选择使用安全加速SCDN或阿里云高防产品。沙箱更多相关问题请参见沙箱说明。

更多信息

当域名被恶意刷请求时，CDN在应用层帮您抵挡了攻击，产生了资源消耗，因此需要收取费用。费用的多少取决于您是否开启了IP黑白名单或频次控制功能，具体原则如下：

• 未开启IP黑白名单或频次控制功能，无IP封禁的情况下：会产生大量的请求数计费和大量的流量计费。
• 已开启IP黑白名单或频次控制功能，有IP封禁的情况下：可以大大减少流量计费，从而降低您的费用支出。具体开启方法，请参见配置IP黑白名单和配置频次控制。

适用于

• CDN