文档首页/ 内容分发网络 CDN/ 最佳实践/ 防范恶意流量盗刷
更新时间:2025-06-16 GMT+08:00
分享

防范恶意流量盗刷

域名被恶意攻击或盗刷流量时,会产生高于日常消费金额的账单,并且该账单无法免除或退款,本文为您介绍如何配置相关防护和提醒功能,以减少突发高带宽带来的风险。

发生盗刷后及时止损

如果您的域名已经被恶意攻击或盗刷流量,您可以配置用量封顶和请求限速,防止损失进一步扩大,然后分析攻击行为,配置相关防护策略。

  1. 配置用量封顶:配置域名最大使用带宽/流量,当用量达到配置的阈值时,CDN将停用域名,有效预防流量盗刷或恶意攻击带来的高额账单。详细配置请参考用量封顶
    图1 添加用量封顶
  2. 配置请求限速:配置用户请求限速,对用户访问到CDN节点的请求进行下行速率限速,控制总请求带宽,一定程度上减少突发高带宽风险。详细配置请参考请求限速
    图2 请求限速配置

分析攻击行为

域名被攻击后,可以通过以下步骤分析攻击时间和攻击者的信息,以便加固安全防护配置。

  1. 确定攻击时间范围:通过查看账单分析攻击的具体时间,根据需要选择统计周期和维度,分析高额账单发生时段,账单导出方式详见费用账单
  2. 分析离线日志:通过查看对应时段的离线访问日志,分析HTTP请求信息,识别异常IP地址、防盗链等信息,以便针对性设置防护规则。详细信息请参考通过日志分析恶意访问地址
  3. 分析实时日志:如果在发生攻击行为之前,域名已经接入实时日志,可以通过实时日志分析更多客户端信息,如X-Forwarded-For字段、请求时间等。
    1. 可通过LTS为CDN定制的仪表盘分析日志信息,详见CDN仪表盘模板
    2. 也可以登录LTS服务控制台,选择华北-北京四region,在日志管理页面单击对应的日志组日志流名称,分析该日志组中相关日志详情。
    • 如需使用实时日志功能,可参考实时日志将域名的实时日志上报至LTS。
    • 开通实时日志后,CDN节点实时日志推送暂不收费(后续是否会收费请关注产品动态),基础存储与分析相关费用由云日志服务(LTS)收。
  4. 查看运营报表:CDN支持定制热门URL、热门Referer和热门UA报表,如果在发生攻击前被攻击的域名已经定制了运营报表,可以下载攻击时段的报表分析相关信息,详见运营报表

    实时日志和运营报表均需要提前配置,如果因攻击产生高额账单时未配置这两项功能,只能通过离线日志分析历史数据。

解决问题

  1. 通过对攻击行为的分析,可提取相应的攻击IP/Referer/UA,CDN提供的基础访问控制功能可以实现相应的防护。
    • 配置防盗链拒绝带有恶意Referer请求:攻击者会伪造请求头中的Referer字段,试图假冒合法引用来源。可以配置Referer黑白名单,允许合法的Referer请求,拒绝未经授权的第三方网站链接到资源。

    • 配置IP黑名单限制可以IP访问:筛选出可以IP地址,将这些IP地址列入黑名单。

    • 配置UA黑名单过滤可疑User-Agent:攻击者会伪造User-Agent字段发送大量请求,试图绕过安全检查,可能包含空值或随机字段。可以通过配置相关UA黑白名单,限制空UA访问。

  2. 开通边缘安全防护:开通边缘安全服务,边缘安全(Edge Security,EdgeSec)是华为云基于CDN边缘节点提供的安全防护服务,包括:边缘DDoS防护、CC防护、WAF防护、BOT行为分析等功能,可根据业务情况配置相关安全规则,实现加速域名的全方位防护。

后续防护

配置CES监控:开启CES监控上报功能,将重要指标上报并设置告警,监控指标数据超过告警阈值时,会发出告警,方便您实时了解业务情况,及时规避风险。详细配置流程请参考CES监控上报

CES监控功能CDN侧不收费,如果您在CES侧设置了告警,发送告警通知时消息通知服务(SMN)会收取相应的费用,SMN服务的价格详见这里

配置可用额度预警:配置可用额度预警功能,当账户可用额度低于一定金额时,系统会发送短信提醒。

为了确保统计数据的完整性和账单的准确性,CDN产品账单生成时间会存在延时,详见基础服务计费方式。因此实际计费时间晚于对应的CDN资源消耗时间,无法通过账单来实时反馈资源消费情况,这是由于CDN产品自身的分布式节点特性导致,也是业界通用的处理方法。

配置IP访问限频:配置IP访问限频功能,通过限制单IP的单URL每秒访问单个节点的次数(QPS),实现CC攻击防御及恶意盗刷防护,降低高额账单风险。

配置突发带宽告警:配置突发带宽告警,当客户端请求带宽达到配置的阈值时发出告警信息,方便及时发现异常攻击,有效预防流量盗刷或恶意攻击带来的高额账单。

相关文档