域名被攻击或流量盗刷的影响和解决方法_边缘安全加速(ESA)-阿里云帮助中心

当您的域名因恶意攻击或流量盗刷而产生突发的高带宽或大量流量消耗，从而导致账单超出日常消费金额时，这类因恶意攻击或流量盗刷而产生的高额账单无法免除或退款。为尽量避免此类风险，本文将为您介绍应对这类情况的方法。

潜在风险：恶意访问带来高额账单

在攻击行为发生的时候，实际消耗了ESA的带宽资源，因此您需要自行承担攻击产生的流量带宽费用。
客户流量被恶意盗刷而产生突发带宽增高的情况与被攻击的情况类似，因为实际消耗了ESA的带宽资源，所以您需要自行承担攻击产生的流量带宽费用。

连带风险：账单金额可能会超出账户余额

在域名被恶意攻击或者流量被恶意盗刷的情况下，极易出现高额账单，连带出现的风险是账单金额往往会超出您的账户余额。

重要

ESA预付部分流量使用完毕后，会产生后付费及对应账单，其账单金额受计费周期（如按小时出账，按天出账、按月出账等）和账单处理时延（阿里云ESA产品出账存在3~4小时延迟）等因素的影响，无法在账户余额为0的情况下立即停机，因而可能会出现欠费金额大于0，或者单条账单的欠费金额直接超出您的延停额度范围。

阿里云提供延期免停权益，如果您开启了该服务，当您的账户欠费后，阿里云会根据您的客户等级或历史消费等因素，提供一定额度或时长继续使用云服务的权益，每个月自动计算并更新延停额度。更多信息，请参见延期免停权益。

针对新注册用户，延停权益默认关闭，关闭延停权益情况下的产品欠费/停机逻辑流程：
示例：客户A，使用按流量计费（按小时出账）的ESA服务，A关闭了延停权益，账户余额1000元。02月01日15:00~16：00之间，客户流量突增，02月01日19:00左右出账（15:00~16：00时间段的小时流量账单）金额为5000元，系统结算后欠费4000元，则ESA进入停服处理流程，并且停服以后还会输出16:00~17：00、17:00~18：00、18:00~19：00这三个时间段的账单，最后账户的欠费金额很可能还会大于4000元。
您可以手动开启延停权益，开启延停权益情况下的产品欠费/停机逻辑流程：
示例：还是以上面的A客户为例，假设A客户开启了延停权益，有500元的延停额度，最终在02月01日19:00左右出账（15:00~16：00时间段的小时流量账单）的时候，依然会因为欠费而进入ESA停服处理流程（欠费金额4000元大于延停额度500元）。

排查方式

说明

高额账单的产生主要是由于恶意访问带来的流量激增，而产生相对于平时极高的费用。以下为您介绍流量激增的排查方式，方便您定位具体原因，详细的解决方案参考应对办法。
在出现异常流量突增的时候，建议您先通过安全分析页面来查看流量异常原因（例如：异常的TOP客户端IP，异常的TOP Referer等）。当然您可以通过分析实时日志，来判断是什么原因产生的带宽突增。然后根据具体的原因在控制台为域名针对性的配置安全防护措施，以避免产生不必要的流量带宽消耗。

排查方式	说明
离线日志	ESA提供了按小时粒度打包的离线日志服务，您可以下载31天内任一时间区间的站点访问日志到本地保存，方便您优化站点的加速策略，监控、诊断潜在问题和了解用户的访问行为等。
实时日志	通过实时日志投递功能可以实时采集系统、应用程序或设备操作的日志，并投递到指定处理平台上进行存储和分析，能够有效保护数据安全，快速监控，定位业务问题和优化内容分发性能。

应对办法

阿里云ESA会对客户带宽突增情况进行检测，如发现异常流量，则会根据客户正常业务访问量以及异常流量总体负载情况来评估是否对突发流量采取限流或者收敛到特定ESA节点上等措施（不会100%触发限流或者敛到特定ESA节点上，具体请参考使用限制中的突发带宽/QPS限流规则）来保障全网用户的稳定性，由此导致的可用性问题，阿里云不承担责任。
为保障服务的正常运行和避免出现高额账单，建议参考本文档开启防护功能或者对流量进行相应的访问控制。

配置安全防护

防护措施	功能说明
配置WAF自定义规则	如果您的站点需要自定义控制用户的访问策略，您可以在自定义规则中设置请求匹配条件，并通过拦截、观察等方式控制匹配到的用户请求，帮助您的站点更加灵活的限制用户可访问的内容。
配置WAF频次控制规则	频次控制用于抑制某一类特征的请求访问，例如同一个客户端IP在某一段时间内高频访问您的站点，您希望在超过某个阈值后使用滑块控制其访问频次或拉黑一段时间，即可使用频次控制功能。
配置WAF托管规则	SQL注入、跨站脚本、代码执行、CRLF、远程文件和WebShell等入侵型攻击一般难以察觉且危害大，很难使用自定义规则、频次控制等规则自行配置攻击特征进行防护。托管规则是阿里云系统内置的智能托管防护规则，可以智能防护OWASP攻击和最新的源站漏洞攻击，您可以直接启用各类攻击的防护而无需手动配置和更新。
配置WAF扫描防护规则	扫描防护模块通过识别扫描行为和扫描器特征，阻止攻击者或扫描器对网站的大规模扫描行为，对攻击源执行拦截操作或自动拉入黑名单，帮助Web业务降低被入侵的风险并减少扫描带来的垃圾流量。
配置WAF白名单规则	白名单规则允许您根据业务场景，自定义放行具有指定特征的请求，使请求不经过全部或特定防护规则（自定义规则、频次控制、托管规则、扫描防护、Bot管理）的检测。
创建Bots规则集	Bots管理支持简易模式和高级模式的配置。通过简易模式您可以快速的为当前站点配置爬虫管理，而高级模式提供了更为精准的爬虫规则，方便您针对性的对网站或APP作出调整。
配置DDoS防护	当您使用一般的代理加速服务且遭受DDoS攻击时，代理加速服务商通常会停止您的加速服务。而ESA将默认为您提供DDoS防护，根据不同的套餐，ESA提供不同防护能力的DDoS防护服务。

开启流量管理

建议您使用云监控产品设置产品级别或者域名级别的带宽监控规则（参考文档：为ESA创建报警规则），及时了解流量或者带宽的使用情况并发送异常告警。在出现异常带宽突增的情况下，还可以给域名配置带宽限速、请求限速等策略。

流量管理项

功能说明

设置实时监控

如果您要实时监控域名的带宽峰值，可以使用云监控产品的云产品监控功能，设置对ESA产品下指定域名的带宽峰值监控，达到设定的带宽峰值后将会给管理员发送告警（短信、邮件和钉钉），便于更加及时地发现潜在风险。详细请参见云监控产品详情页。

设置费用预警

您可以在控制台右上方菜单栏费用选择费用与成本，通过设置以下这三个功能来更好地控制账户的消费额度，避免产生过高的账单。

可用额度预警：您可以设置账户余额低于一定金额时即向您发送短信告警。
启用延停额度：您可以选择关闭该功能，这样在账号欠费时会立即关闭业务，以避免产生更多消费。更多信息，请参见延期免停权益。

说明

为了保证计量数据统计的完整性，确保账单的准确性，ESA产品需要在记账周期结束后大约3个小时才能生成实际的账单。