CDN 安全
# 50.CDN安全
为了保证 CDN 不被恶意刷流量导致高额账单,可以对 CDN 做防护措施,或使用高防 CDN。
# 普通 CDN
普通 CDN 受到恶意攻击,也是会计费的。目前国内大部分 CDN 厂商都是这样的套路:即使你的 CDN 流量用完了,还是会继续计费(也就是先欠着),等到记账周期到了(例如次日)再提供账单给你,让你交费。
也就是说,如果你受到了恶意攻击,可能一觉醒来就欠下了高额账单,不少站长都遇到过这样的事情:
..... 如果你查看相关的服务商的文档,也能看到他们对于恶意攻击的说明,基本都是先计费,然后补交欠费的:
华为云:CDN 受到恶意攻击会计费吗?-华为云 (opens new window), 高额账单风险警示_华为云 (opens new window)
阿里云:如何防护 CDN 遭受攻击,提高服务质量-阿里云帮助中心 (opens new window), 高额账单风险警示-阿里云帮助中心 (opens new window)
接下来讲讲我的一些防护措施,建议根据官网文档来入手,看不懂的话就问客服/提工单。
# 对 CDN 进行限制
我们可以对 CDN 进行流量限制、限速等,或者增加预警,这样如果遭受了攻击,就可以尽早知道,并作出相应的处置(例如关停服务),防止产生高额账单。
例如阿里云可以:
- 限制带宽上线 (opens new window)
- 单请求限速 (opens new window)
- 设置带宽限速 (opens new window)
- 设置实时监控 (opens new window)
- 设置费用预警
- ..........
其他云服务厂商也一般有相应的文档,如何防止高额账单。
# 选择高防 CDN
我们也可以选择专业的高防 CDN。
所谓高防 CDN,可以理解为“带有高级防御功能的 CDN”,也就是加速防御一体 CDN,可以防护 DDoS 多种攻击类型,无视 CC 以及危害网站行为包括恶意刷流量,恶意爬虫,Web 应用攻击等。 一般来说,国内的大厂都有相应的功能,例如华为云:
不过,这些大厂的高防 CDN 服务都是很贵的,动辄成千上万,对于小站来说太贵了。
偶然看到另一个博主推荐的一些高防 CDN:
- 【公益高防 CDN】天御云,只专注于加速、智能防 CC/DDOS 的 SCDN 品牌 - 陶小桃 Blog (opens new window)
- 网盾星球 SCDN 联盟扶持计划,低至 1 元/月,适合个人网站的高防 CDN - 陶小桃 Blog (opens new window),如果推广可以用很低的价格使用,参考网盾推广计划 (opens new window)
这些 CDN 比起大厂的便宜不少,按需选择即可。
# 限制境外访问
大部分的攻击都是来自国外的服务器,可能是国内管的比较严。国内/国外的攻击者很多都是用国外的服务器来攻击,因此我们防护时也要重点关注这一点。
最简单粗暴的方法:禁止国外 IP 访问,这一点可以通过设置解析路线来搞定。例如阿里云 (opens new window)可以针对国外路线进行设置,这样境外的 IP 访问时,就会解析到访问自己,访问就会失败:
方法有很多,还可以用 Nginx,参考 nginx 拒绝国外 IP 访问 - 郭亚彬 - 博客园 (opens new window)
如果想要允许境外访问,也可以接入 CloudFlare(后续博客会讲),或者在高防 CDN 里对境外 IP 进行限制。
# 裸奔
除了以上措施之外,还有一个终极大法:裸奔。撤掉 CDN,被攻击就宕机,等攻击停止了再开机,这样就不担心欠费问题了,让你的博客主机直面网络上的风风雨雨。真男人就不该躲在城堡里,而应该像灭霸一样住在南山的茅草屋。
参考:公网带宽不同类型对应的计费方式-阿里云帮助中心 (opens new window)
(完)
