防范恶意流量盗刷
域名被恶意攻击或盗刷流量时,会产生高于日常消费金额的账单,并且该账单无法免除或退款,本文为您介绍如何配置相关防护和提醒功能,以减少突发高带宽带来的风险。
发生盗刷后及时止损
如果您的域名已经被恶意攻击或盗刷流量,您可以配置用量封顶和请求限速,防止损失进一步扩大,然后分析攻击行为,配置相关防护策略。
分析攻击行为
域名被攻击后,可以通过以下步骤分析攻击时间和攻击者的信息,以便加固安全防护配置。
- 确定攻击时间范围:通过查看账单分析攻击的具体时间,根据需要选择统计周期和维度,分析高额账单发生时段,账单导出方式详见费用账单。
- 分析离线日志:通过查看对应时段的离线访问日志,分析HTTP请求信息,识别异常IP地址、防盗链等信息,以便针对性设置防护规则。详细信息请参考通过日志分析恶意访问地址。
- 分析实时日志:如果在发生攻击行为之前,域名已经接入实时日志,可以通过实时日志分析更多客户端信息,如X-Forwarded-For字段、请求时间等。
- 可通过LTS为CDN定制的仪表盘分析日志信息,详见CDN仪表盘模板。
- 也可以登录LTS服务控制台,选择华北-北京四region,在 页面单击对应的日志组或日志流名称,分析该日志组中相关日志详情。
- 查看运营报表:CDN支持定制热门URL、热门Referer和热门UA报表,如果在发生攻击前被攻击的域名已经定制了运营报表,可以下载攻击时段的报表分析相关信息,详见运营报表。
实时日志和运营报表均需要提前配置,如果因攻击产生高额账单时未配置这两项功能,只能通过离线日志分析历史数据。
解决问题
- 通过对攻击行为的分析,可提取相应的攻击IP/Referer/UA,CDN提供的基础访问控制功能可以实现相应的防护。
- 开通边缘安全防护:开通边缘安全服务,边缘安全(Edge Security,EdgeSec)是华为云基于CDN边缘节点提供的安全防护服务,包括:边缘DDoS防护、CC防护、WAF防护、BOT行为分析等功能,可根据业务情况配置相关安全规则,实现加速域名的全方位防护。
后续防护

为了确保统计数据的完整性和账单的准确性,CDN产品账单生成时间会存在延时,详见基础服务计费方式。因此实际计费时间晚于对应的CDN资源消耗时间,无法通过账单来实时反馈资源消费情况,这是由于CDN产品自身的分布式节点特性导致,也是业界通用的处理方法。
配置IP访问限频:配置IP访问限频功能,通过限制单IP的单URL每秒访问单个节点的次数(QPS),实现CC攻击防御及恶意盗刷防护,降低高额账单风险。
配置突发带宽告警:配置突发带宽告警,当客户端请求带宽达到配置的阈值时发出告警信息,方便及时发现异常攻击,有效预防流量盗刷或恶意攻击带来的高额账单。