最近大量网站被刷CDN流量？如何防范？

💥 今天在群里发现说是CDN流量被刷了。

💥 我就打开阿里云DCN，一看，天哪，我也被刷了。昨天，今天CDN流量异常，昨天30多个G，今天56.33G。听说是山西那边的。不知道是什么组织还是个人在到处刷CDN

💥 所以要设置下CDN黑名单

💥 设置CDN的路径：

💥 阿里云控制台→CDN→域名管理→访问控制→IP黑/白名单→修改配置

✅ 添加下面的IP网段

221.205.169.0/24
221.205.168.0/24
221.205.164.0/24

2024-07-10 又被刷了6.9个G。新增IP：

36.35.38.0/24

还是把CDN关，算了。

CDN设置防盗链
添加黑名单
查看CDN离线日志，屏蔽访问高的IP
设置UA
✅ 设置OSS和CDN防盗链，网站限制访问流量（1个IP，每秒限制20）
关OSS和CDN

❗ 阿里云CDN日志分析

【分析方法】：
1、下载离线日志或配置实时日志SLS，进行分析Top信息（Top IP、Top URL、Top UA、TOP referer等）。
如：awk分析某目录下离线日志Top100的IP地址，

cat xx/* | awk '{count[$3]++} END{for (val in count) print val, count[val]}' | sort -k2,2nr | head -n 100 awk

分析某目录下离线日志Top100的url地址，

cat xx/* | awk '{count[$8]++} END{for (val in count) print val, count[val]}' | sort -k2,2nr | head -n 100

离线日志参考：

CDN提供的日志相关的功能和产品有哪些_CDN(CDN)-阿里云帮助中心

您可以通过分析CDN日志及时发现问题，并有针对性的解决问题，提升CDN服务质量。通过本文您可以了解CDN提供的日志相关的功能和产品。

实时日志参考：

CDN实时日志功能介绍_CDN(CDN)-阿里云帮助中心

在使用CDN访问资源时，会产生大量的日志数据。阿里云CDN通过与日志服务（SLS）融合，将这些日志实时推送至SLS进行分析。通过实时日志分析，您可以快速发现和定位问题，提高数据决策能力。

2、通过运营报表功能分析TOP域名、referer、url、客户端IP等（注意运营报表只能分析开启报表后的访问行为）

定制和订阅加速域名的运营报表离线分析数据_CDN(CDN)-阿里云帮助中心

通过运营报表功能，您可以查询加速域名在各个不同时间段的离线分析数据；通过分析数据，便于您了解加速域名的运行状况，帮助您进行业务状态分析。由于运营报表只提供60天的数据，如果您需要统计60以上数据，请提前下载。

【防护建议】：
1、可以通过访问控制的功能（IP黑白名单、Refer防盗链、鉴权URL等）进行拦截，命中规则触发则返回403，详见：

CDN访问控制支持的功能_CDN(CDN)-阿里云帮助中心

您可以通过设置Referer黑/白名单、URL鉴权、远程鉴权、以及IP黑白名单、User-Agent黑白名单来实现对访客身份的识别和过滤，从而限制访问CDN资源的用户，提升CDN的安全性。

2、带宽封顶设置，通过设置带宽上限，来控制带宽用量。当指定加速域名在统计周期（1分钟）内产生的平均带宽超出预设上限，CDN将停止为该域名提供加速服务。风险提醒：带宽封顶的功能是触发带宽上限后，会触发域名下线（即无法访问）。因此设置带宽封顶带宽值时，可根据日常业务峰值预留适当带宽空间。带宽封顶设置参考下：