七牛云CDN被盗刷几千G,造成大额经济损失怎么对CDN进行防护,内附本次屏蔽的ip组
@[TOC]
问题及排查思路
网站访问量没变,但是CDN每小时流量10G+,在七牛云CSN TOP URL/IP页面可以看到相同的资源或ip有几十G或者更多的请求
解决方案
解决方案1:添加Referer防盗链
referer防盗链是基于获取HTTP请求中的 referer header,根据 referer 跟踪来源,对来源进行识别和判断,您可以登录七牛开发者平台选择CDN控制台,进行referer 黑白名单的配置,从而限制访问来源,避免恶意用户盗刷。
功能说明
referer防盗链默认为关闭状态,开启后可以进行referer黑白名单的配置。
白名单:请求的referer字段匹配白名单设置的内容,则 CDN 节点正常返回请求信息,若不匹配,CDN 节点拒绝返回该请求信息,返回状态码 403。
黑名单:请求的referer不匹配黑名单内设置的内容,则 CDN 节点正常返回请求信息,若匹配,CDN 节点拒绝返回该请求信息,返回状态码 403。
是否允许空referer:当选择允许空referer时,此时若请求referer字段为空或无referer字段 CDN 节点正常返回请求信息;若不允许,此时若请求referer字段为空或无referer字段 CDN 节点拒绝返回该请求信息,会直接返回状态码 403。
操作说明
1、登录七牛开发者平台后,进入CDN控制台,选择【域名管理】,点击【配置】。
2、进入域名配置界面,访问控制模块下的referer防盗链点击【修改配置】进行referer防盗链的配置。
3、开启防盗链配置,选择黑白名单,输入访问的来源域名。
注意事项
(1) 域名之间请回车换行,无需填写 http://,https://;
(2)支持域名前使用通配符 :*.example.com 可用于指代所有 example.com 下的多级子域名,比如 a.example.com 等,但是不包括 example.com,如需要请额外填写一条 example.com;
(3)防盗链个数设置不能超过100个;
(4)黑白名单生效时间为 1 小时,在此期间不能修改其它配置;
(5)不支持 IP,不支持端口号。
官方文档地址
解决方案2:设置ip黑名单
为了解决恶意 IP 盗刷等问题,七牛云CDN提供了IP黑白名单配置功能,您可以登录七牛开发者平台选择CDN控制台,进行IP黑白名单配置。
操作说明
登录七牛开发者平台后,进入CDN控制台,选择【域名管理】,点击【配置】:
进入域名配置界面,访问控制模块下的IP黑白名单点击【修改配置】进行IP黑白名单配置。
IP黑白名单配置默认为关闭状态,开启后可以根据需要选择配置IP的黑白名单。
IP白名单:当发起请求的客户端的IP匹配列表中的IP或IP段时,访问能够正常返回所请求的内容,其他请求均直接返回403。
IP黑名单:当发起请求的客户端的IP匹配列表中的 IP或IP段时,访问直接返回403,其他访问能够正常返回所请求内容。
注意事项
(1)支持输入多个IP或网段,每行为一个IP或网段,最多可添加500条IP或网段记录;
(2)支持IPv4和IPv6黑白名单,支持IPv4 网段,但不支持IPv6网段。
官方文档地址
本次添加黑名单的ip段
112.2.102.24
112.2.102.0/24
112.0.238.0/24
112.20.39.0/24
114.230.138.0/24
43.254.193.0/24
43.254.194.0/24
43.254.195.0/24
58.220.4.0/24
58.220.40.0/24
112.0.239.0/24
112.2.103.0/24
43.254.192.0/24
116.179.37.0/24
