如何避免CDN域名被恶意攻击导致高额账单

引言

众多个人开发者与企业运用内容分发网络（CDN）技术以优化业务流程，增强服务的可用性。然而，市面上的CDN产品普遍采用流量或带宽作为计费标准。在遭受攻击时，攻击者可能会发起大量请求，进而消耗大量的流量或带宽资源，导致产生的费用远超日常消费水平。绝大多数云服务提供商对于由恶意攻击或流量盗刷导致的高额费用是无法免除或退款的。因此，有必要尽力规避此类风险。

鉴于不同云计算服务商所提供的操作流程与产品使用方法存在差异，本文将以腾讯云的CDN服务为例，通过一系列配置优化，以在一定程度上减少潜在风险的发生。

具体功能设置及功能说明，以腾讯云官网为准。

具体设置方法

一、访问控制

访问控制的核心宗旨在于确保只有得到授权的用户才能对系统资源进行访问或修改，从而保障系统资源免受未经授权的访问、使用、泄露、损害或篡改。

在CDN的配置过程中，针对域名实施访问控制，可以有效避免不必要的网络资源浪费。

以下是对具体功能配置的详细说明，这些设置可以通过腾讯云CDN控制台进行调整。

1、防盗链配置

"防盗链"通常指为了防止其他网站非法引用或盗用自己网站上的资源（如图片、视频、文档等），而采取的一种技术措施。这种措施可以确保网站内容只能在特定的网站或页面上被访问和显示，从而保护网站的版权和内容不被滥用。

通过对用户 HTTP Request Header 中 referer 字段的值设置访问控制策略，从而限制访问来源，避免恶意用户盗刷。

具体操作路径如下图示：

如网站仅单纯浏览器访问，则可以设置类型为白名单，内容配置网站域名，勾选refere。 如有其它访问情况，则填写对应的域名，再根据情况设置。

2、IP 黑白名单配置

IP 黑白名单配置是网络安全中的一种常见策略，用于控制对网络资源的访问。通过配置可以指定哪些IP地址被允许访问网络资源（白名单），哪些IP地址被禁止访问（黑名单）。这种策略有助于提高网络安全，防止未授权访问和恶意攻击。

通过对用户请求端 IP 配置访问控制策略，可以有效限制访问来源，阻拦恶意 IP 盗刷、攻击等问题。

具体操作路径如下图示：

在监测到恶意IP地址发起的非法请求时，应将这些IP地址列入黑名单进行限制。

3、IP 访问限频配置

IP访问限频配置是一种网络安全措施，用于控制对网络资源的访问频率。通过配置可以限制IP地址在一定时间内可以发起的连接数或请求数，以防止滥用资源、发起拒绝服务攻击（DoS）或分布式拒绝服务攻击（DDoS）。

通过对用户端 IP 在每一个节点每一秒钟访问次数进行限制，可进行高频 CC 攻击抵御、防恶意用户盗刷等。

具体操作路径如下图示：

通过对单IP单节点QPS限制，可防御部分CC 攻击。

4、鉴权配置

鉴权配置确保只有经过验证的用户才能访问特定的资源或执行特定的操作，是信息安全和访问控制的重要组成部分，它帮助保护系统免受未授权访问和滥用。

配置后，客户端在发起请求时需要按照配置计算签名并携带至服务端，CDN 节点进行服务端校验，校验通过后才继续放行。

一般情况下，在 CDN 上分发的内容默认为公开资源，用户拿到 URL 后均可进行访问，为避免恶意用户盗刷您的内容进行牟利，除了通过 referer 黑白名单、IP 黑白名单、IP 访问限频等访问控制策略外，也可通过设置高级时间戳鉴权来进行盗刷防护。

举例，正常的URL是 域名/test/1.jpg， 当开通鉴权配置后，访问地址更改为 域名/test/1.jpg?sign=172432677-xc4n6O6jaPB21H9YgJ-c909abe7320dd2 ，只有当sing参数正常的时候，才可以显示对应的业务。

具体操作路径如下图示：

为满足特定的鉴权需求，该方式涉及程序开发流程。将依据不同的鉴权类型和算法，构建出合规的URL地址。

5、UA 黑白名单配置

UA（User Agent）黑白名单配置根据用户代理（User Agent）字符串来控制对网络资源的访问。用户代理字符串通常包含在HTTP请求头中，它描述了发起请求的浏览器、操作系统、版本等信息。

通过UA黑白名单配置，可以允许或拒绝特定的浏览器或设备访问网站或服务。对用户 HTTP 请求头中的 User-Agent 进行规则判断，按需放行或拒绝用户访问。

具体操作路径如下图示：

6、下行限速配置

下行限速配置用于限制从网络到客户端的数据传输速率。通常用于控制带宽使用，防止特定用户或服务消耗过多的网络资源，从而确保网络的使用和性能。

通过下行限速配置，对节点单链接下行最大吞吐速度进行设置，可在一定程度上控制 CDN 峰值带宽值，多用于电商大促、游戏新版本发布更新等场景。

具体操作路径如下图示：

下行限速配置成功后，将会对访问此域名的全网用户生效，一定程度上会影响用户访问体验及 CDN 加速效果，请谨慎使用。

二、流量管理

流量管理是指对网络流量进行监控、控制和优化的一系列技术和策略。其目的是确保网络资源的高效使用，提高网络性能，保障网络服务的稳定性和可靠性，同时优化用户体验。

建议启用流量/带宽管理的相关配置，监控域名流量或带宽的消耗情况并接收告警，及时了解流量消耗的相关信息。

以下是对具体功能配置的详细说明，这些设置可以通过腾讯云CDN控制台进行调整。

1、用量封顶配置

当预付费资源包（流量包、HTTPS 请求包）用尽时，会计入腾讯云 CDN 按量后付费。若担心由于恶意用户盗刷产生大量带宽或者流量，导致产生高额账单，可通过用量封顶功能进行用量控制。

通过用量封顶配置功能，可以限制域名的流量/带宽使用上限。当统计周期产生的流量/带宽超出所设置阈值时，将关闭 CDN 服务（全部请求返回404），避免产生更多 CDN 服务费用。

具体操作路径如下图示：

2、腾讯云可观测平台

可以使用腾讯云可观测平台的监控功能，设置对 CDN 产品下指定域名或项目的流量带宽使用情况监控，达到设定的峰值后将会给用户发送告警（短信、邮件和微信），便于更加及时地发现潜在风险。

3、流量包管理

如果是流量计费用户，可以在控制台流量包管理处设置告警策略，当所有有效流量包余额不足设定的比例时发送告警。

具体操作路径如下图示：

三、安全防护

为了进一步提升安全防护水平，不仅可以采取前述的配置方法，还可以依托腾讯云提供的边缘安全加速平台——EdgeOne来实现。

EdgeOne 基于腾讯云遍布全球的边缘节点，可为用户同时提供内容分发网络加速和边缘安全防护能力，相比传统独立的安全防护和加速产品，EdgeOne 在边缘节点上提供了开箱即用的安全防护能力，构建了更加完善的 DDoS 防护、Web 防护、Bot 管理能力，支持各类丰富的自定义规则管控，为用户提供了更灵活、更强大的安全防护能力。

以上内容引自腾讯云官网介绍

总结

虽然上述措施不能确保百分百地避免安全问题的出现，但在很大程度上可以增强安全防护能力，从而使攻击者难以成功侵入我们的系统。同时，也能在一定程度上减少遭受攻击所带来的财产损失风险。