您的域名可能被恶意攻击、流量被恶意盗刷,进而产生突发高带宽或者大流量,这种情况会给您的业务带来很大的风险,本文为您介绍这一类情况的风险和应对办法。

风险一:域名可能会被切入沙箱

您可以参考沙箱说明章节,来了解什么是沙箱、沙箱的特性以及处置流程。

阿里云CDN是公共加速服务,默认不提供抗攻击能力,并且承载着成千上万的域名加速业务,所以当您的域名遭受攻击时,CDN系统有权(根据域名业务情况、攻击影响程度等因素综合判断)将您的域名切入沙箱,防止影响其他正常用户的加速服务。在攻击较严重的情况下,同账户下的其他域名也会被切入沙箱,同时还会限制账号下的新域名接入。域名被切入沙箱后,阿里云CDN将不再保证服务质量,部分时段可能会出现完全无法服务的情况。

风险二:恶意访问带来高额账单

您可以参考高额账单风险警示章节,来了解因为域名被恶意攻击或恶意盗刷流量,而带来的高额账单风险。

  • 在攻击行为或者流量盗刷行为发生的时候,实际消耗了CDN的带宽资源,因此您需要自行承担攻击产生的流量带宽费用。
  • 域名被恶意攻击或者流量被恶意盗刷的情况下,极易出现高额账单,连带出现的风险是账单金额往往会超出您的账户余额,进而可能会导致您的账户欠费停机。

应对办法

  • 阿里云CDN会对客户带宽突增情况进行检测,如发现异常流量,则会综合考虑客户正常业务访问量以及潜在遭受攻击流量上升情况对突发流量进行处置,阿里云CDN通过该处置方法尽可能减少您在受到攻击时产生的费用。但是,因为攻击仍会消耗CDN带宽资源,所以您需要自行承担流量突增产生的流量带宽费用。如需更精细化的防护配置,请参考本文档建议内容。
  • 为保障服务的正常运行和避免高额账单的出现,建议开启防护功能或者对流量进行相应的管理。
  • 如果您的业务有潜在的被攻击风险,建议开通DCDN产品,DCDN产品有更强大的整体安全防护能力。详细请参见全站加速DCDN
开启防护功能
攻击类型防护措施
CC攻击建议您将域名迁移至阿里云DCDN产品,并开通DDoS防护。DCDN的DDoS防护支持智能CC攻击防护,详情请参见边缘DDoS防护
DDoS攻击建议您将域名迁移至阿里云DCDN产品,并开通DDoS防护,DCDN的DDoS防护支持最高Tbps级别的大流量DDoS攻击清洗,保障您的业务正常运行。详细请参见边缘DDoS防护
流量盗刷建议您将域名迁移至阿里云DCDN产品,并开通边缘WAF防护,DCDN的边缘WAF防护支持配置频次控制和Bot防护,有效拦截恶意请求,避免大额异常流量费用产生。详细请参见边缘WAF概述(新版)
开启流量管理
流量管理项功能说明
设置带宽上限如果您想要限制域名的带宽使用上限,可使用带宽封顶功能来限制域名的带宽上限。(达到设置的带宽阈值之后,CDN将把客户域名的DNS解析回源站,不再提供加速服务)以避免产生过高的账单。详细请参见带宽封顶
设置带宽限速如果您需要对域名使用的阿里云CDN带宽做限速,在满足日带宽峰值大于10 Gbps的情况下,可以填写信息申请后台配置。
重要 达到带宽上限之后CDN将会做限速,限速之后用户的访问速度会变慢,也可能会出现丢包。
设置实时监控如果您要实时监控域名的带宽峰值,可以使用云监控产品的云产品监控功能,设置对CDN产品下指定域名的带宽峰值监控,达到设定的带宽峰值后将会给管理员发送告警(短信、邮件和钉钉),便于更加及时地发现潜在风险。详细请参见云监控产品详情页
设置费用预警您可以在控制台右上方菜单栏费用选择用户中心,通过设置以下这三个功能来更好地控制账户的消费额度,避免产生过高的账单。
  • 可用额度预警:您可以设置账户余额低于一定金额的时候就给您发送短信告警。
  • 启用延停额度:您可以选择关闭该功能,这样在账号欠费时会立即关闭业务,以避免产生更多消费。更多信息,请参见延期免停权益
  • 高额消费预警:您可以开启预警,设置产品日账单大于预警阈值时将会发送短信告警。
说明 为了保证计量数据统计的完整性,确保账单的准确性,CDN产品需要在记账周期结束后大约3个小时才能生成实际的账单,因此实际扣款时间与对应的资源消费时间存在一定的时延,无法通过账单来实时反馈资源消耗情况,这是由CDN产品自身的分布式节点特性决定的,每个CDN服务商都采用类似的处理办法。