您的域名可能被恶意攻击、流量被恶意盗刷,进而产生突发高带宽或者大流量,这种情况会给您的业务带来很大的风险,本文为您介绍这一类情况的风险和应对办法。
风险一:域名可能会被切入沙箱
您可以参考沙箱说明章节,来了解什么是沙箱、沙箱的特性以及处置流程。
阿里云CDN是公共加速服务,默认不提供抗攻击能力,并且承载着成千上万的域名加速业务,所以当您的域名遭受攻击时,CDN系统有权(根据域名业务情况、攻击影响程度等因素综合判断)将您的域名切入沙箱,防止影响其他正常用户的加速服务。在攻击较严重的情况下,同账户下的其他域名也会被切入沙箱,同时还会限制账号下的新域名接入。域名被切入沙箱后,阿里云CDN将不再保证服务质量,部分时段可能会出现完全无法服务的情况。
风险二:恶意访问带来高额账单
您可以参考高额账单风险警示章节,来了解因为域名被恶意攻击或恶意盗刷流量,而带来的高额账单风险。
- 在攻击行为或者流量盗刷行为发生的时候,实际消耗了CDN的带宽资源,因此您需要自行承担攻击产生的流量带宽费用。
- 域名被恶意攻击或者流量被恶意盗刷的情况下,极易出现高额账单,连带出现的风险是账单金额往往会超出您的账户余额,进而可能会导致您的账户欠费停机。
应对办法
阿里云CDN产品默认并不提供访问控制或者安全防护能力,阿里云CDN会对客户带宽突增情况进行检测,如发现异常流量,则会根据客户正常业务访问量以及异常流量总体负载情况来评估是否对突发流量采取限流或者切沙箱等措施(不会100%触发限流或者切沙箱,具体请参考使用限制中的“突发带宽/QPS限流规则”)来保障全网用户的稳定性,由此导致的可用性问题,阿里云不承担责任。
为保障服务的正常运行和避免出现高额账单,建议参考本文档开启防护功能或者对流量进行相应的访问控制。
开启访问控制
在出现异常流量突增的时候,建议您先通过分析实时日志(参考文档:配置实时日志推送),来判断当前是由于什么原因产生的带宽突增,然后根据具体的原因在控制台为域名针对性的开启以下访问控制功能,以避免产生不必要的流量带宽消耗。
访问控制措施 | 功能说明 |
配置Referer防盗链 | 常用的一种配置方法是设置Referer防盗链的白名单,仅允许referer为指定域名(例如:与您的网站业务系统相关的域名)的访问请求,以实现对访客的身份识别和过滤,防止网站资源被非法盗用。详细请参见配置Referer防盗链。 |
配置URL鉴权 | URL鉴权功能通过阿里云CDN节点与您的资源站点配合,能够形成更为安全可靠的源站资源防盗方法。详细请参见配置URL鉴权。 |
配置远程鉴权 | 远程鉴权功能通过阿里云CDN节点将用户请求转发至您指定的鉴权服务器,由鉴权服务器对用户请求进行校验,从而可以更严格地限制资源被非授权用户访问。详细请参见配置远程鉴权。 |
配置IP黑白名单 | 恶意攻击或者流量突增行为发生以后,您可以通过实时日志分析功能查看当前是否存在访问较为高频的IP地址,如果识别出恶意IP地址,那么您可以使用IP黑白名单功能封禁这些恶意IP地址。详细请参见配置IP黑白名单。 |
配置UA黑白名单 | 恶意攻击或者流量突增行为发生以后,您可以通过实时日志分析功能查看当前恶意访问行为是否来自某些特定的User-Agent,如果识别出特定的User-Agent,那么您可以使用UA黑白名单功能实现对恶意访问行为的封禁。详细请参见配置UA黑白名单。 |
开启流量管理
建议您使用云监控产品设置产品级别或者域名级别的带宽监控规则(参考文档:设置报警),及时了解流量或者带宽的使用情况并发送异常告警。在出现异常带宽突增的情况下,还可以给域名配置带宽限速、请求限速等策略。
流量管理项 | 功能说明 |
设置带宽上限 | 如果您想要限制域名的带宽使用上限,可使用带宽封顶功能来限制域名的带宽上限。(达到设置的带宽阈值之后,CDN将停止为该域名提供加速服务,且该域名会被解析到无效地址)以避免产生过高的账单。详细请参见带宽封顶。 |
设置单请求限速 | 单请求限速功能可以对用户访问到CDN节点的所有请求进行下行速率限速。单请求限速功能比较经常用于配合客户网站的运营活动,例如:游戏新版本发布场景,通过配置单请求限速功能,可以压制加速域名的全网带宽峰值。详细请参见配置单请求限速。 |
设置带宽限速 | 如果您需要对域名使用的阿里云CDN带宽做限速,在满足日带宽峰值大于10 Gbps的情况下,可以填写信息申请后台配置。 重要
|
设置实时监控 | 如果您要实时监控域名的带宽峰值,可以使用云监控产品的云产品监控功能,设置对CDN产品下指定域名的带宽峰值监控,达到设定的带宽峰值后将会给管理员发送告警(短信、邮件和钉钉),便于更加及时地发现潜在风险。详细请参见云监控产品详情页。 |
设置费用预警 | 您可以在控制台右上方菜单栏费用选择用户中心,通过设置以下这三个功能来更好地控制账户的消费额度,避免产生过高的账单。
说明 为了保证计量数据统计的完整性,确保账单的准确性,CDN产品需要在记账周期结束后大约3个小时才能生成实际的账单,因此实际扣款时间与对应的资源消费时间存在一定的时延,无法通过账单来实时反馈资源消耗情况,这是由CDN产品自身的分布式节点特性决定的,每个CDN服务商都采用类似的处理办法。 |
开启防护功能
如果以上的访问控制功能和流量管理功能依然无法满足您的需求,建议您开通DCDN产品,DCDN产品有更强大的整体安全防护能力,提供DDoS防护和WAF防护功能。详细请参见将CDN域名升级至DCDN产品和全站加速DCDN。
攻击类型 | 场景概述 | 防护措施 |
DDoS攻击 | Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。 通常应用层攻击完全模拟用户请求,类似于各种搜索引擎和爬虫一样,这些攻击行为和正常的业务并没有严格的边界,难以辨别。 Web服务中一些资源消耗较大的事务和页面。例如,Web应用中的分页和分表,如果控制页面的参数过大,频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下,类似这样的事务就成了早期CC攻击的目标。 由于现在的攻击大都是混合型的,因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如,各种刷票软件对网站的访问,从某种程度上来说就是CC攻击。 CC攻击瞄准的是Web应用的后端业务,除了导致拒绝服务外,还会直接影响Web应用的功能和性能,包括Web响应时间、数据库服务、磁盘读写等。 | 建议您将域名迁移至阿里云DCDN产品,并开通DDoS防护,DCDN的DDoS防护支持最高Tbps级别的大流量DDoS攻击清洗,保障您的业务正常运行;同时也支持智能CC攻击防护。详细请参见防护配置。 |
流量盗刷 |
| 建议您将域名迁移至阿里云DCDN产品,并开通边缘WAF防护,DCDN的边缘WAF防护支持配置频次控制和Bot防护,有效拦截恶意请求,避免产生大额异常流量费用。详细请参见边缘WAF概述(新版)。 |
相关文档
安全防护其他相关问题及处理方法,请参见安全防护FAQ。