大家好,我是小北。
自从去年网站(csguide.cn)上线后,一直没有遇到CDN 被刷的情况。
前两周很多博主的网站都被刷了,我还庆幸自己网站小流量小没被盯上呢。
这不今晚刚下班,在路上就收到了腾讯云告警,流量触达我之前配置的规则:
不过一点也不慌,因为我当时按照网站日常流量估算,并预留了充足的 buffer ,设置了一个5分钟内总流量阈值,所以即便刷也是有个上限兜底的。
回家赶紧登上腾讯云看了下,果然不出所料,刷了近 2 小时,总共就刷了 30G 左右,100G 大概 20 块,也就血亏 6 块吧哈哈哈。
最关键是这货从晚上 8 点开始刷,刚好是程序员一般下班的时间点,估计想着偷偷摸摸刷一晚上吧。。。
我把访问日志拉下来看了下,果然就一个 IP 在刷:
并且这个 IP 是山西的,看来是同一波人了(最近很多站长都被刷了,来源都是山西的 IP):
不过幸好是我开通 CDN 就把所有能配置的安全策略都配置了,可能是在支付养成的习惯吧,对外的接口By 用户、商户进行限频是基本操作,安全第一位。
在这顺便也分享一下我都配置了哪些安全策略~
一、单IP限频
这个很重要,一般刷流量都是固定的一些肉鸡 IP 在发起,所以我们预估好正常单个用户的访问 QPS 之后,就可以设置一个合理的单 IP 限频:
我最开始设置的 50 QPS:
不过今晚觉得设置得太高了,正常用户 10 QPS 就顶天了,所以我又调小了一波:
改完后流量就下降了:
并且响应中 50X 的错误码成比例增加了(触发限频后,会返回 50X:
二、出口总流量限制
腾讯云有用量封顶限制,5 分钟内超过 1 个 G 就会返回 404,当然这个可能会影响正常用户访问,但是结合单 IP 限频,我们可以计算出单个 IP 最多大概可以刷多少流量:
可以看到被刷期间,我的出口流量就是在 1GB 以内的,所以还是起到了作用:
三、单URL 下行限速
这个就是限制单个 URL 的访问带宽,因为一般盗刷 CDN 都是拿固定几个 CDN 文件去一直访问,我看了日志,攻击者就是固定一个图片的链接:
不过这一个选项,我之前还没配置:
四、IP 黑名单
这个只能事后弥补了,不能提前预防,由于才被攻击一次,我的黑名单才加了一个emmm:
另外,像腾讯云提供了 EdgeOne 服务,充钱就能变得更强,但是需要付费,这种免费网站还是算了,设置完上面这些选项,一般就能有兜底的防住了。
最后,再给网站打波广告,欢迎访问:
https://csguide.cn/
推荐阅读:
