Jika nama domain Anda diserang atau digunakan untuk penyalahgunaan transmisi data, konsumsi bandwidth tinggi atau lonjakan lalu lintas dapat terjadi. Dalam situasi ini, Anda mungkin menerima tagihan lebih tinggi dari yang diharapkan. Tagihan tinggi akibat serangan jahat atau penyalahgunaan transmisi data tidak dapat dibatalkan atau dikembalikan. Topik ini menjelaskan cara mencegah tagihan tinggi.
Risiko potensial: tagihan tinggi yang disebabkan oleh serangan atau aktivitas mirip serangan
Serangan dapat mengakibatkan biaya tambahan untuk sumber daya bandwidth dan transfer data.
Penyalahgunaan nama domain untuk transmisi data dapat menyebabkan lonjakan lalu lintas atau konsumsi bandwidth tinggi, mirip dengan serangan. Anda akan dikenakan biaya untuk penggunaan sumber daya bandwidth dan transfer data dalam kasus-kasus tersebut.
Konsekuensi potensial: tagihan yang lebih tinggi dari yang diharapkan
Jika nama domain Anda sedang diserang atau disalahgunakan untuk transmisi data, tagihan Anda mungkin lebih tinggi dari yang diharapkan, dan saldo akun Anda bisa habis.
Alibaba Cloud CDN menagih berdasarkan sumber daya yang Anda gunakan. Dalam beberapa kasus, layanan mungkin tetap aktif meskipun saldo akun mencapai 0 karena siklus penagihan (per jam, harian, atau bulanan) atau penundaan penagihan. Tagihan untuk Alibaba Cloud CDN dihasilkan tiga hingga empat jam setelah setiap siklus penagihan berakhir. Hal ini dapat menyebabkan pembayaran terlambat atau jumlah tagihan melebihi batas overdraft.
Alibaba Cloud menyediakan perlindungan penangguhan layanan. Jika Anda mengaktifkan perlindungan ini, layanan tidak akan ditangguhkan sebelum periode tenggang berakhir. Periode tenggang atau batas overdraft ditentukan berdasarkan tingkat akun dan riwayat pembelian Anda. Batas overdraft diatur ulang setiap bulan.
Solusi
Secara default, Alibaba Cloud CDN tidak menyediakan kemampuan kontrol akses atau perlindungan keamanan. Alibaba Cloud CDN mendeteksi lonjakan penggunaan bandwidth. Jika trafik abnormal terdeteksi, Alibaba Cloud mengevaluasi apakah akan membatasi trafik, menambahkan nama domain ke sandbox, atau mengambil tindakan lain berdasarkan trafik layanan normal dan abnormal secara keseluruhan. Untuk informasi lebih lanjut, lihat Batasan. Ini memastikan stabilitas layanan untuk pengguna lain. Alibaba Cloud tidak bertanggung jawab atas masalah ketersediaan yang disebabkan dalam situasi tersebut.
Untuk memastikan sistem berjalan sesuai harapan dan mencegah tagihan tinggi yang tidak terduga, kami sarankan Anda mengaktifkan fitur keamanan atau melakukan kontrol akses.
Aktifkan kontrol akses
Ketika lonjakan lalu lintas terjadi, kami sarankan Anda menemukan penyebabnya dengan menganalisis log real-time. Untuk informasi lebih lanjut, lihat Pengiriman Log Real-Time. Kemudian, aktifkan fitur kontrol akses untuk nama domain di konsol berdasarkan penyebab spesifik untuk menghindari trafik dan konsumsi bandwidth yang tidak perlu.
Fitur | Deskripsi |
Daftar Hitam atau Daftar Putih Referer | Daftar putih dan daftar hitam Referer memungkinkan kontrol akses dengan memvalidasi header Referer. Permintaan yang cocok dengan daftar putih diizinkan, sedangkan yang cocok dengan daftar hitam diblokir. Ini mencegah akses tidak sah ke sumber daya. Anda dapat mengonfigurasi daftar hitam atau daftar putih Referer sesuai kebutuhan. |
Penandatanganan URL | Fitur penandatanganan URL memungkinkan titik kehadiran (POPs) bekerja sama dengan server asal Anda untuk melindungi sumber daya asal dari penggunaan tidak sah. Metode ini lebih aman dan andal. Anda dapat mengonfigurasi penandatanganan URL sesuai kebutuhan. |
Otentikasi Jarak Jauh | Setelah Anda mengaktifkan fitur otentikasi jarak jauh, POPs mengarahkan permintaan pengguna ke server otentikasi tertentu. Server otentikasi memverifikasi permintaan pengguna untuk mencegah sumber daya diakses oleh pengguna tidak sah. Anda dapat mengonfigurasi otentikasi jarak jauh sesuai kebutuhan. |
Daftar Hitam atau Daftar Putih Alamat IP | Setelah serangan jahat atau lonjakan lalu lintas terjadi, Anda dapat menggunakan fitur analisis log real-time untuk memeriksa apakah alamat IP sering mengakses nama domain. Jika alamat IP jahat teridentifikasi, Anda dapat mengonfigurasi daftar hitam atau daftar putih untuk memblokir alamat IP tersebut. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Hitam atau Daftar Putih Alamat IP. |
Daftar Hitam atau Daftar Putih User-Agent | Setelah serangan jahat atau lonjakan lalu lintas terjadi, Anda dapat menggunakan fitur analisis log real-time untuk memeriksa apakah header User-Agent dari permintaan jahat adalah nilai tertentu. Jika header User-Agent dari permintaan jahat adalah nilai tertentu, Anda dapat mengonfigurasi daftar hitam atau daftar putih User-Agent untuk memblokir permintaan yang berisi nilai tertentu dalam header User-Agent mereka. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Hitam atau Daftar Putih User-Agent. |
Kelola lalu lintas
Kami sarankan Anda menggunakan CloudMonitor untuk mengonfigurasi aturan peringatan bandwidth berdasarkan layanan atau nama domain untuk memantau lalu lintas dan penggunaan bandwidth, serta mengirimkan peringatan. Untuk informasi lebih lanjut, lihat Konfigurasikan Aturan Peringatan. Dalam kasus lonjakan bandwidth tak terduga, Anda juga dapat mengonfigurasi kebijakan, seperti pembatasan bandwidth dan pembatasan lalu lintas untuk permintaan individu, untuk nama domain.
Fitur | Deskripsi |
Batas bandwidth | Jika Anda ingin membatasi jumlah sumber daya bandwidth yang dapat dikonsumsi oleh nama domain, Anda dapat menentukan bandwidth cap untuk nama domain tersebut. Setelah bandwidth nama domain mencapai batas bandwidth yang ditentukan, Alibaba Cloud CDN menonaktifkan akselerasi untuk nama domain dan nama domain diselesaikan ke alamat yang tidak valid. Ini mencegah tagihan tinggi yang tidak terduga. Untuk informasi lebih lanjut, lihat Konfigurasikan batas bandwidth. |
Pembatasan lalu lintas untuk permintaan individu | Pembatasan lalu lintas untuk permintaan individu memungkinkan Anda membatasi kecepatan downstream untuk semua permintaan yang dikirim ke POPs. Pembatasan lalu lintas untuk permintaan individu dapat digunakan dalam operasi situs web, seperti peluncuran game. Dengan cara ini, Anda dapat membatasi bandwidth puncak keseluruhan nama domain yang dipercepat. Untuk informasi lebih lanjut, lihat Konfigurasikan pembatasan lalu lintas untuk permintaan individu. |
Pembatasan bandwidth | Jika bandwidth puncak harian nama domain Anda lebih besar dari 10 Gbit/s dan Anda ingin membatasi Alibaba Cloud CDN bandwidth untuk nama domain, ajukan tiket. Penting
|
Pemantauan real-time | Jika Anda ingin memantau bandwidth puncak nama domain secara real-time, Anda dapat menggunakan CloudMonitor. Setelah bandwidth nama domain mencapai ambang batas yang ditentukan, Anda diberi tahu tentang risiko potensial melalui pesan teks, email, atau pesan DingTalk. Untuk informasi lebih lanjut, kunjungi halaman produk CloudMonitor. |
Pengelolaan pengeluaran dan peringatan | Anda dapat menggunakan fitur-fitur berikut untuk memantau dan membatasi pengeluaran. Untuk mengonfigurasi fitur-fitur tersebut, gerakkan pointer Anda ke Expenses di bilah navigasi atas console dan pilih Expenses and Costs.
Catatan Untuk memastikan integritas statistik dan akurasi tagihan, Alibaba Cloud CDN menerbitkan tagihan sekitar tiga jam setelah siklus penagihan berakhir. Waktu untuk mengurangi biaya terkait dari saldo akun Anda mungkin lebih lambat daripada waktu saat sumber daya dikonsumsi dalam siklus penagihan. Alibaba Cloud CDN adalah layanan terdistribusi. Oleh karena itu, Alibaba Cloud tidak menyediakan rincian konsumsi sumber daya Alibaba Cloud CDN dalam tagihan. Penyedia CDN lainnya menggunakan pendekatan serupa. |
Keamanan
Jika Anda memerlukan lebih dari fitur kontrol akses dan manajemen lalu lintas, coba Edge Security Acceleration (ESA). ESA menyediakan fitur keamanan tingkat lanjut dengan perlindungan DDoS asli dan firewall aplikasi web. Ini menggunakan algoritma pembelajaran mesin Alibaba Cloud untuk menganalisis setiap permintaan untuk ancaman, memastikan keamanan bisnis.
Jenis Serangan | Informasi Latar Belakang | Kemampuan ESA |
Serangan DDoS | Serangan DDoS HTTP/HTTPS, sering disebut sebagai serangan Challenge Collapsar (CC), menargetkan lapisan aplikasi web. Serangan ini meniru permintaan pengguna sah yang mirip dengan mesin pencari dan perayap web, sehingga sulit dibedakan dari aktivitas normal. Dalam layanan web, transaksi dan halaman yang menggunakan banyak sumber daya, seperti paging dan partisi, dapat menjadi target serangan CC ketika parameter besar menyebabkan pembalikan halaman berlebihan, terutama selama konkurensi tinggi. Serangan CC dapat menggabungkan berbagai pendekatan, dengan operasi mirip pengguna yang sering, seperti bot pemesanan tiket. Serangan-serangan ini menyebabkan penolakan layanan dan memengaruhi kinerja, seperti waktu respons web, layanan database, dan I/O disk. | ESA menyediakan perlindungan DDoS secara default untuk melindungi situs web Anda dari serangan DDoS berbasis volume dan serangan banjir HTTP. Berdasarkan rencana yang berbeda, ESA menawarkan layanan perlindungan DDoS dengan kemampuan perlindungan bervariasi yang dapat disesuaikan dengan kebutuhan Anda. ESA bertujuan untuk meminimalkan downtime apa pun untuk memastikan situs web Anda kembali beroperasi secepat mungkin. |
Pencurian Trafik | Pencurian trafik adalah ancaman yang melibatkan manipulasi dan pencurian trafik web. Serangan-serangan ini dapat dikurangi dengan mengontrol frekuensi permintaan dari satu alamat IP, memvalidasi pengalihan, dan membedakan antara aktivitas manusia dan mesin. Untuk mengatasi serangan yang melibatkan banyak permintaan lambat, sistem keamanan menganalisis kode respons dan pola permintaan URL serta mengidentifikasi anomali di header Referer dan User-Agent. |
|
Referensi
Untuk informasi lebih lanjut tentang masalah perlindungan keamanan dan solusi, lihat FAQ.