防范恶意流量盗刷

发生盗刷后及时止损

如果您的域名已经被恶意攻击或盗刷流量，您可以配置用量封顶和请求限速，防止损失进一步扩大，然后分析攻击行为，配置相关防护策略。

1. 配置用量封顶：配置域名最大使用带宽/流量，当用量达到配置的阈值时，CDN将停用域名，有效预防流量盗刷或恶意攻击带来的高额账单。详细配置请参考用量封顶。
   图1 添加用量封顶
   
2. 配置请求限速：配置用户请求限速，对用户访问到CDN节点的请求进行下行速率限速，控制总请求带宽，一定程度上减少突发高带宽风险。详细配置请参考请求限速。
   图2 请求限速配置
   

分析攻击行为

域名被攻击后，可以通过以下步骤分析攻击时间和攻击者的信息，以便加固安全防护配置。

1. 确定攻击时间范围：通过查看账单分析攻击的具体时间，根据需要选择统计周期和维度，分析高额账单发生时段，账单导出方式详见费用账单。
2. 分析离线日志：通过查看对应时段的离线访问日志，分析HTTP请求信息，识别异常IP地址、防盗链等信息，以便针对性设置防护规则。详细信息请参考通过日志分析恶意访问地址。
3. 查看运营报表：CDN支持定制热门URL、热门Referer和热门UA报表，如果在发生攻击前被攻击的域名已经定制了运营报表，可以下载攻击时段的报表分析相关信息，详见运营报表。
   

   运营报表需要提前配置，如果因攻击产生高额账单时未配置这项功能，只能通过离线日志分析历史数据。

解决问题

1. 通过对攻击行为的分析，可提取相应的攻击IP/Referer/UA，CDN提供的基础访问控制功能可以实现相应的防护。
   • 配置防盗链拒绝带有恶意Referer请求：攻击者会伪造请求头中的Referer字段，试图假冒合法引用来源。可以配置Referer黑白名单，允许合法的Referer请求，拒绝未经授权的第三方网站链接到资源。

     

   • 配置IP黑名单限制可以IP访问：筛选出可以IP地址，将这些IP地址列入黑名单。

     

   • 配置UA黑名单过滤可疑User-Agent：攻击者会伪造User-Agent字段发送大量请求，试图绕过安全检查，可能包含空值或随机字段。可以通过配置相关UA黑白名单，限制空UA访问。

     

2. 开通边缘安全防护：开通边缘安全服务，边缘安全（Edge Security，EdgeSec）是华为云基于CDN边缘节点提供的安全防护服务，包括：边缘DDoS防护、CC防护、WAF防护、BOT行为分析等功能，可根据业务情况配置相关安全规则，实现加速域名的全方位防护。

后续防护

配置CES监控：开启CES监控上报功能，将重要指标上报并设置告警，监控指标数据超过告警阈值时，会发出告警，方便您实时了解业务情况，及时规避风险。详细配置流程请参考CES监控上报。

CES监控功能CDN侧不收费，如果您在CES侧设置了告警，发送告警通知时消息通知服务（SMN）会收取相应的费用，SMN服务的价格详见这里。

配置IP访问限频：配置IP访问限频功能，通过限制单IP的单URL每秒访问单个节点的次数（QPS），实现CC攻击防御及恶意盗刷防护，降低高额账单风险。

配置突发带宽告警：配置突发带宽告警，当客户端请求带宽达到配置的阈值时发出告警信息，方便及时发现异常攻击，有效预防流量盗刷或恶意攻击带来的高额账单。