当您的域名因被恶意攻击或流量被恶意盗刷等原因而造成高带宽或超大流量消耗时,可能需要承担产生远高于平时消费金额的账单,因恶意攻击或流量盗刷产生的高额账单无法免除/退款,因此,为尽量避免此类潜在风险,本文为您介绍这一类情况的应对办法。
访问控制
建议您在控制台为域名针对性的开启访问控制功能(免费),以避免产生不必要的流量带宽消耗。
| 访问控制项 | 功能说明 |
|---|---|
| 防盗链配置 | 通过对用户 HTTP Request Header 中 referer 字段的值设置访问控制策略,从而限制访问来源,避免恶意用户盗刷。 |
| IP 黑白名单配置 | 通过对用户请求端 IP 配置访问控制策略,可以有效限制访问来源,阻拦恶意 IP 盗刷、攻击等问题。 |
| IP 访问限频配置 | 通过对用户端 IP 在每一个节点每一秒钟访问次数进行限制,可进行高频 CC 攻击抵御、防恶意用户盗刷等。 |
| 鉴权配置 | 配置后,客户端在发起请求时需要按照配置计算签名并携带至服务端,CDN 节点进行服务端校验,校验通过后才继续放行。 |
| UA 黑白名单配置 | 通过对用户 HTTP 请求头中的 User-Agent 进行规则判断,按需放行或拒绝用户访问。 |
| 下行限速配置 | 腾讯云 CDN 为您提供了下行限速配置,对服务端单链接下行最大吞吐速度进行设置。 |
流量管理
建议您启用流量/带宽管理的相关配置(免费),监控域名流量或带宽的消耗情况并接收告警,及时了解流量消耗的相关信息。
| 流量管理项 | 功能说明 |
|---|---|
| 用量封顶配置 | 如果您想要限制域名的流量/带宽使用上限,可以使用用量封顶配置功能。 当统计周期(5分钟)产生的流量/带宽超出所设置阈值时,关闭 CDN 服务(全部请求返回404),以避免产生过高的账单。 |
| 腾讯云可观测平台 | 您可以使用腾讯云可观测平台的监控功能,设置对 CDN 产品下指定域名或项目的流量带宽使用情况监控,达到设定的峰值后将会给用户发送告警(短信、邮件和微信),便于更加及时地发现潜在风险。 |
| 流量包管理 | 如果您是流量计费用户,可以在控制台-流量包管理处设置告警策略,当所有有效流量包余额不足设定的比例时发送告警。 |
安全防护
如果您的业务有潜在被攻击的风险,建议开通安全加速 SCDN。安全加速包含分布式 DDoS 清洗、CC 自适应识别、智能 WAF 防护、BOT 行为分析等诸多安全防护功能,在为用户业务提供快速稳定的内容分发服务的基础上,提供全面的网络攻击防护能力。
已接入并开启腾讯云内容分发网络或全站加速网络服务的域名,可一键开启 SCDN 安全加速,对 Web 攻击,DDoS 攻击,CC 攻击等网络攻击类型进行全方位防护,为业务安全保驾护航。功能费用详情可见 安全加速 SCDN。
| 安全加速 | 功能简介 |
|---|---|
| 分布式 DDoS 清洗 | 依托于内容分发网络(CDN)遍布全国 1100+ 加速节点,挑选优质节点加载高性能自研 DDoS 清洗模块,基于先进特征识别算法进行精确清洗,抵御 SYN Flood、TCP Flood、ICMP Flood 等各类流量攻击,联动腾讯云高防机房,单点最大可抵御 1Tbps DDoS 攻击。 |
| CC 自适应识别 | 自研智能 CC 判定、拦截专利技术,根据平台推荐拦截策略,结合用户多维度自定义规则进行恶意攻击分析、拦截,支持频控、流控等手段对恶意访问进行过滤。 |
| 智能 WAF 防护 | 基于腾讯海量 Web 攻击样本库,对访问进行特征匹配,有效抵御 SQL 注入、XSS 攻击、本地文件包含等各类 Web 攻击,实时保护用户源站。特有的 AI 引擎,融合腾讯亿级威胁情报,打造更聪明的威胁识别大脑,精准有效拦截 Web 威胁。 |
| BOT 行为分析 | 融合腾讯云 Web 防火墙AI+规则的 Bot 程序管理功能,面向全量加速请求进行行为分析,对友好及恶意的 Bot 爬虫进行甄别,支持自定义策略管理。丰富的已知 Bot 行为库覆盖广告、截屏工具、搜索引擎、站点监控、链接查询等爬虫类型,独有的 AI 技术面向对全量用户请求行为进行建模,智能甄别异常流量来源。 |
| 高级访问控制 | 除基础 IP、referer、UA 黑白名单外,支持自定义复杂访问控制规则,可指定客户端 IP、URI、Referer、User-Agent、Params 等字段进行等于、包含、不包含等规则匹配,根据业务场景进行多条件组合过滤。 |