防范恶意流量盗刷

发生盗刷后及时止损

如果您的域名已经被恶意攻击或盗刷流量，您可以配置用量封顶和请求限速，防止损失进一步扩大，然后分析攻击行为，配置相关防护策略。

1. 配置用量封顶：配置域名最大使用带宽/流量，当用量达到配置的阈值时，CDN将停用域名，有效预防流量盗刷或恶意攻击带来的高额账单。详细配置请参考用量封顶。
   图1 添加用量封顶
   
2. 配置请求限速：配置用户请求限速，对用户访问到CDN节点的请求进行下行速率限速，控制总请求带宽，一定程度上减少突发高带宽风险。详细配置请参考请求限速。
   图2 请求限速配置
   

分析攻击行为

域名被攻击后，可以通过以下步骤分析攻击时间和攻击者的信息，以便加固安全防护配置。

1. 确定攻击时间范围：通过查看账单分析攻击的具体时间，根据需要选择统计周期和维度，分析高额账单发生时段，账单导出方式详见费用账单。
2. 分析离线日志：通过查看对应时段的离线访问日志，分析HTTP请求信息，识别异常IP地址、防盗链等信息，以便针对性设置防护规则。详细信息请参考通过日志分析恶意访问地址。
3. 分析实时日志：如果在发生攻击行为之前，域名已经接入实时日志，可以通过实时日志分析更多客户端信息，如X-Forwarded-For字段、请求时间等。
   1. 可通过LTS为CDN定制的仪表盘分析日志信息，详见CDN仪表盘模板。
   2. 也可以登录LTS服务控制台，选择华北-北京四region，在“日志管理”页面单击对应的日志组或日志流名称，分析该日志组中相关日志详情。
   

   • 如需使用实时日志功能，可参考实时日志将域名的实时日志上报至LTS。
   • 开通实时日志后，CDN节点实时日志推送暂不收费（后续是否会收费请关注产品动态），基础存储与分析相关费用由云日志服务（LTS）收。
4. 查看运营报表：CDN支持定制热门URL、热门Referer和热门UA报表，如果在发生攻击前被攻击的域名已经定制了运营报表，可以下载攻击时段的报表分析相关信息，详见运营报表。
   

   实时日志和运营报表均需要提前配置，如果因攻击产生高额账单时未配置这两项功能，只能通过离线日志分析历史数据。

解决问题

1. 通过对攻击行为的分析，可提取相应的攻击IP/Referer/UA，CDN提供的基础访问控制功能可以实现相应的防护。
   • 配置防盗链拒绝带有恶意Referer请求：攻击者会伪造请求头中的Referer字段，试图假冒合法引用来源。可以配置Referer黑白名单，允许合法的Referer请求，拒绝未经授权的第三方网站链接到资源。

     

   • 配置IP黑名单限制可以IP访问：筛选出可以IP地址，将这些IP地址列入黑名单。

     

   • 配置UA黑名单过滤可疑User-Agent：攻击者会伪造User-Agent字段发送大量请求，试图绕过安全检查，可能包含空值或随机字段。可以通过配置相关UA黑白名单，限制空UA访问。

     

2. 开通边缘安全防护：开通边缘安全服务，边缘安全（Edge Security，EdgeSec）是华为云基于CDN边缘节点提供的安全防护服务，包括：边缘DDoS防护、CC防护、WAF防护、BOT行为分析等功能，可根据业务情况配置相关安全规则，实现加速域名的全方位防护。

后续防护

配置CES监控：开启CES监控上报功能，将重要指标上报并设置告警，监控指标数据超过告警阈值时，会发出告警，方便您实时了解业务情况，及时规避风险。详细配置流程请参考CES监控上报。

CES监控功能CDN侧不收费，如果您在CES侧设置了告警，发送告警通知时消息通知服务（SMN）会收取相应的费用，SMN服务的价格详见这里。

配置可用额度预警：配置可用额度预警功能，当账户可用额度低于一定金额时，系统会发送短信提醒。

为了确保统计数据的完整性和账单的准确性，CDN产品账单生成时间会存在延时，详见基础服务计费方式。因此实际计费时间晚于对应的CDN资源消耗时间，无法通过账单来实时反馈资源消费情况，这是由于CDN产品自身的分布式节点特性导致，也是业界通用的处理方法。

配置IP访问限频：配置IP访问限频功能，通过限制单IP的单URL每秒访问单个节点的次数（QPS），实现CC攻击防御及恶意盗刷防护，降低高额账单风险。

配置突发带宽告警：配置突发带宽告警，当客户端请求带宽达到配置的阈值时发出告警信息，方便及时发现异常攻击，有效预防流量盗刷或恶意攻击带来的高额账单。