文档

高额账单风险警示

更新时间:

当您的域名因被恶意攻击或流量被恶意盗刷,产生了突发高带宽或者大流量消耗,导致产生高于日常消费金额的高额账单。因恶意攻击或流量盗刷产生的高额账单无法免除/退款,为尽量避免此类风险,本文为您介绍这一类情况的应对办法。

潜在风险:恶意访问带来高额账单

  • 在攻击行为发生的时候,实际消耗了CDN的带宽资源,因此您需要自行承担攻击产生的流量带宽费用。

  • 客户流量被恶意盗刷而产生突发带宽增高的情况与被攻击的情况类似,因为实际消耗了CDN的带宽资源,所以您需要自行承担攻击产生的流量带宽费用。

连带风险:账单金额可能会超出账户余额

域名被恶意攻击或者流量被恶意盗刷的情况下,极易出现高额账单,连带出现的风险是账单金额往往会超出您的账户余额。

CDN产品属于按量付费产品,其账单金额受计费周期(如按小时出账,按天出账、按月出账等)和账单处理时延(阿里云CDN产品出账存在3~4小时延迟)等因素的影响,无法做到账户余额为0的情况下立即停机,因而可能会出现欠费金额大于0,或者单条账单的欠费金额直接超出您的延停额度范围。

阿里云提供延期免停权益,如果您开启了该服务,当您的账户欠费后,阿里云会根据您的客户等级或历史消费等因素,提供一定额度或时长继续使用云服务的权益,每个月自动计算并更新延停额度。更多信息,请参见延期免停权益

  • 针对新注册用户,延停权益默认关闭,关闭延停权益情况下的产品欠费/停机逻辑流程:关闭延停

    示例:客户A,使用按流量计费(按小时出账)的CDN服务,A关闭了延停权益,账户余额1000元。02月01日15:00~16:00之间,客户流量突增,02月01日19:00左右出账(15:00~16:00时间段的小时流量账单)金额为5000元,系统结算后欠费4000元,则CDN进入停服处理流程,并且停服以后还会输出16:00~17:00、17:00~18:00、18:00~19:00这三个时间段的账单,最后账户的欠费金额很可能还会大于4000元。

  • 您可以手动开启延停权益,开启延停权益情况下的产品欠费/停机逻辑流程:开启延停权益

    示例:还是以上面的A客户为例,假设A客户开启了延停权益,有500元的延停额度,最终在02月01日19:00左右出账(15:00~16:00时间段的小时流量账单)的时候,依然会因为欠费而进入CDN停服处理流程(欠费金额4000元大于延停额度500元)。

应对办法

  • 阿里云CDN产品默认并不提供访问控制或者安全防护能力,阿里云CDN会对客户带宽突增情况进行检测,如发现异常流量,则会根据客户正常业务访问量以及异常流量总体负载情况来评估是否对突发流量采取限流等措施(不会100%触发限流)来保障全网用户的稳定性,由此导致的可用性问题,阿里云不承担责任。

  • 为保障服务的正常运行和避免出现高额账单,建议参考本文档开启防护功能或者对流量进行相应的访问控制。

开启防护功能

如果您的业务有潜在的被攻击风险,建议开通DCDN产品,DCDN产品有更强大的整体安全防护能力。详细请参见全站加速DCDN

攻击类型

防护措施

CC攻击

建议您将域名迁移至阿里云DCDN产品,并开通DDoS防护。DCDN的DDoS防护支持智能CC攻击防护,详情请参见防护配置

DDoS攻击

建议您将域名迁移至阿里云DCDN产品,并开通DDoS防护,DCDN的DDoS防护支持最高Tbps级别的大流量DDoS攻击清洗,保障您的业务正常运行。详细请参见防护配置

流量盗刷

建议您将域名迁移至阿里云DCDN产品,并开通边缘WAF防护,DCDN的边缘WAF防护支持配置频次控制和Bot防护,有效拦截恶意请求,避免大额异常流量费用产生。详细请参见边缘WAF概述(新版)

开启访问控制

建议您在控制台为域名针对性的开启访问控制功能,以避免产生不必要的流量带宽消耗。

访问控制措施

功能说明

配置Referer防盗链

常用的一种配置方法是设置Referer防盗链的白名单,仅允许referer为指定域名(例如:与您的网站业务系统相关的域名)的访问请求,以实现对访客的身份识别和过滤,防止网站资源被非法盗用。详细请参见配置Referer防盗链

配置URL鉴权

URL鉴权功能通过阿里云CDN节点与您的资源站点配合,能够形成更为安全可靠的源站资源防盗方法。详细请参见配置URL鉴权

配置远程鉴权

远程鉴权功能通过阿里云CDN节点将用户请求转发至您指定的鉴权服务器,由鉴权服务器对用户请求进行校验,从而可以更严格地限制资源被非授权用户访问。详细请参见配置远程鉴权

配置IP黑白名单

恶意攻击或者流量突增行为发生以后,您可以通过实时日志分析功能查看当前是否存在访问较为高频的IP地址,如果识别出恶意IP地址,那么您可以使用IP黑白名单功能封禁这些恶意IP地址。详细请参见配置IP黑白名单

配置UA黑白名单

恶意攻击或者流量突增行为发生以后,您可以通过实时日志分析功能查看当前恶意访问行为是否来自某些特定的User-Agent,如果识别出特定的User-Agent,那么您可以使用UA黑白名单功能实现对恶意访问行为的封禁。详细请参见配置UA黑白名单

开启流量管理

建议您启用带宽管理/请求限速的相关配置,监控域名流量或带宽的消耗情况并接收告警,及时了解流量消耗的相关信息。

流量管理项

功能说明

设置带宽上限

如果您想要限制域名的带宽使用上限,可使用带宽封顶功能来限制域名的带宽上限。(达到设置的带宽阈值之后,CDN将停止为该域名提供加速服务,且该域名会被解析到无效地址)以避免产生过高的账单。详细请参见带宽封顶

设置单请求限速

单请求限速功能可以对用户访问到CDN节点的所有请求进行下行速率限速。单请求限速功能比较经常用于配合客户网站的运营活动,例如:游戏新版本发布场景,通过配置单请求限速功能,可以压制加速域名的全网带宽峰值。详细请参见配置单请求限速

设置带宽限速

如果您需要对域名使用的阿里云CDN带宽做限速,在满足日带宽峰值大于10 Gbps的情况下,可以填写信息申请后台配置。

重要
  • 带宽限速设置的是加速域名的全网总带宽上限,考虑到限速的精确性,带宽限速值必须大于等于10 Gbps。

  • 达到带宽上限(例如:10 Gbps)之后,CDN将会对加速域名限速,限速之后用户的访问速度会变慢(每个请求的访问速度都会降低),也可能会出现丢包。

  • 由于带宽限速是通过加速域名的实时监控数据来触发的,而加速域名的实时监控数据存在一定延迟(大约10分钟),因此加速域名的实际带宽达到限速阈值大约10分钟后,域名才会被限速(此时加速域名的实际带宽很可能会大于限速阈值)。

设置实时监控

如果您要实时监控域名的带宽峰值,可以使用云监控产品的云产品监控功能,设置对CDN产品下指定域名的带宽峰值监控,达到设定的带宽峰值后将会给管理员发送告警(短信、邮件和钉钉),便于更加及时地发现潜在风险。详细请参见云监控产品详情页

设置费用预警

您可以在控制台右上方菜单栏费用选择用户中心,通过设置以下这三个功能来更好地控制账户的消费额度,避免产生过高的账单。

  • 可用额度预警:您可以设置账户余额低于一定金额的时候就给您发送短信告警。

  • 启用延停额度:您可以选择关闭该功能,这样在账号欠费时会立即关闭业务,以避免产生更多消费。更多信息,请参见延期免停权益

  • 高额消费预警:您可以开启预警,设置产品日账单大于预警阈值时将会发送短信告警。

说明

为了保证计量数据统计的完整性,确保账单的准确性,CDN产品需要在记账周期结束后大约3个小时才能生成实际的账单,因此实际扣款时间与对应的资源消费时间存在一定的时延,无法通过账单来实时反馈资源消耗情况,这是由CDN产品自身的分布式节点特性决定的,每个CDN服务商都采用类似的处理办法。

相关文档

安全防护其他相关问题及处理方法,请参见安全防护FAQ

  • 本页导读 (1)