Tema ini menjelaskan penyebab tagihan tinggi yang tidak terduga dan solusi untuk masalah tersebut. Jika nama domain Anda rentan terhadap serangan atau disalahgunakan untuk transmisi data, nilai bandwidth tinggi atau lonjakan trafik mungkin terjadi. Dalam hal ini, bisnis Anda mungkin terpapar risiko potensial.
Risiko 1: Nama domain mungkin ditambahkan ke sandbox
Untuk informasi lebih lanjut tentang sandbox, lihat Pengenalan Sandbox.
Alibaba Cloud CDN menyediakan pengiriman konten untuk ribuan nama domain yang dipercepat. Secara default, Alibaba Cloud CDN tidak menyediakan perlindungan terhadap serangan. Jika nama domain yang dipercepat sedang diserang, Alibaba Cloud CDN berhak menambahkan nama domain yang diserang ke dalam sandbox berdasarkan faktor-faktor seperti status layanan nama domain dan dampak dari serangan. Hal ini memastikan bahwa layanan CDN pengguna lain dapat bekerja seperti yang diharapkan. Jika serangan parah, nama domain lain yang dipercepat di bawah akun yang sama juga akan ditambahkan ke sandbox, dan penambahan nama domain baru ke akun dibatasi. Setelah nama domain yang dipercepat ditambahkan ke sandbox, layanan CDN tidak dijamin, dan nama domain mungkin tidak tersedia untuk sementara waktu.
Risiko 2: Tagihan tinggi akibat serangan atau aktivitas mirip serangan
Untuk informasi lebih lanjut tentang tagihan tinggi yang disebabkan oleh serangan atau aktivitas mirip serangan, lihat Konfigurasi peringatan tagihan tinggi.
- Jika terjadi serangan atau penyalahgunaan transmisi data, Anda akan dikenakan biaya untuk sumber daya bandwidth Alibaba Cloud CDN dan transfer data.
- Jika nama domain Anda sedang diserang atau disalahgunakan untuk transmisi data, tagihan mungkin lebih tinggi dari yang diharapkan, saldo akun Anda mungkin habis, dan akun Anda mungkin ditangguhkan karena pembayaran tertunda.
Solusi
Secara default, Alibaba Cloud CDN tidak menyediakan kontrol akses atau kemampuan perlindungan keamanan. Alibaba Cloud CDN mendeteksi lonjakan penggunaan bandwidth. Jika trafik abnormal terdeteksi, Alibaba Cloud mengevaluasi apakah akan membatasi trafik, menambahkan nama domain ke sandbox, atau mengambil tindakan lain berdasarkan trafik layanan normal dan trafik abnormal secara keseluruhan. Untuk informasi lebih lanjut, lihat Batasan. Ini memastikan stabilitas layanan bagi pengguna lain. Alibaba Cloud tidak bertanggung jawab atas masalah ketersediaan yang terjadi dalam situasi tersebut.
Untuk memastikan sistem berjalan sesuai harapan dan mencegah tagihan tinggi yang tidak terduga, kami merekomendasikan Anda mengaktifkan fitur keamanan atau melakukan kontrol akses.
Aktifkan kontrol akses
Ketika terjadi lonjakan trafik, kami merekomendasikan Anda menemukan penyebabnya dengan menganalisis log real-time. Untuk informasi lebih lanjut, lihat Pengiriman log real-time. Kemudian, aktifkan fitur kontrol akses untuk nama domain di konsol berdasarkan penyebab spesifik untuk menghindari konsumsi trafik dan bandwidth yang tidak perlu.
Fitur | Deskripsi |
Daftar hitam atau putih Referer | Daftar putih dan daftar hitam Referer memungkinkan kontrol akses dengan memvalidasi header Referer. Permintaan yang cocok dengan daftar putih diizinkan, sedangkan yang cocok dengan daftar hitam diblokir. Ini mencegah akses tidak sah ke sumber daya. Anda bisa mengonfigurasi daftar hitam atau putih Referer sesuai kebutuhan. |
Penandatanganan URL | Fitur penandatanganan URL memungkinkan titik kehadiran (POPs) bekerja sama dengan server asal Anda untuk melindungi sumber daya asal dari penggunaan tidak sah. Metode ini lebih aman dan andal. Anda bisa mengonfigurasi penandatanganan URL sesuai kebutuhan. |
Otentikasi jarak jauh | Setelah Anda mengaktifkan fitur otentikasi jarak jauh, POPs mengarahkan permintaan pengguna ke server otentikasi tertentu. Server otentikasi memverifikasi permintaan pengguna untuk mencegah sumber daya diakses oleh pengguna tidak sah. Anda bisa mengonfigurasi otentikasi jarak jauh sesuai kebutuhan. |
Daftar hitam atau putih alamat IP | Setelah serangan jahat atau lonjakan trafik terjadi, Anda dapat menggunakan fitur analisis log real-time untuk memeriksa apakah alamat IP sering mengakses nama domain. Jika alamat IP jahat teridentifikasi, Anda dapat mengonfigurasi daftar hitam atau putih untuk memblokir alamat IP tersebut. Untuk informasi lebih lanjut, lihat Konfigurasi daftar hitam atau putih alamat IP. |
Daftar hitam atau putih User-Agent | Setelah serangan jahat atau lonjakan trafik terjadi, Anda dapat menggunakan fitur analisis log real-time untuk memeriksa apakah header User-Agent dari permintaan jahat adalah nilai tertentu. Jika header User-Agent dari permintaan jahat adalah nilai tertentu, Anda dapat mengonfigurasi daftar hitam atau putih User-Agent untuk memblokir permintaan yang berisi nilai tertentu dalam header User-Agent mereka. Untuk informasi lebih lanjut, lihat Konfigurasi daftar hitam atau putih User-Agent. |
Kelola trafik
Kami merekomendasikan Anda menggunakan CloudMonitor untuk mengonfigurasi aturan peringatan bandwidth berdasarkan layanan atau nama domain untuk memantau trafik dan penggunaan bandwidth, serta mengirimkan peringatan. Untuk informasi lebih lanjut, lihat Konfigurasi aturan peringatan. Dalam kasus lonjakan bandwidth tak terduga, Anda juga dapat mengonfigurasi kebijakan, seperti pembatasan bandwidth dan pembatasan trafik untuk permintaan individu, untuk nama domain.
Fitur | Deskripsi |
Batas bandwidth | Jika Anda ingin membatasi jumlah sumber daya bandwidth yang dapat dikonsumsi oleh nama domain, Anda dapat menentukan bandwidth cap untuk nama domain tersebut. Setelah bandwidth nama domain mencapai batas bandwidth yang ditentukan, Alibaba Cloud CDN menonaktifkan percepatan untuk nama domain dan nama domain diselesaikan ke alamat yang tidak valid. Ini mencegah tagihan tinggi yang tidak terduga. Untuk informasi lebih lanjut, lihat Konfigurasi batas bandwidth. |
Pembatasan trafik untuk permintaan individu | Pembatasan trafik untuk permintaan individu memungkinkan Anda membatasi kecepatan downstream untuk semua permintaan yang dikirim ke POPs. Pembatasan trafik untuk permintaan individu dapat digunakan dalam operasi situs web, seperti peluncuran game. Dengan cara ini, Anda dapat membatasi bandwidth puncak keseluruhan nama domain yang dipercepat. Untuk informasi lebih lanjut, lihat Konfigurasi pembatasan trafik untuk permintaan individu. |
Pembatasan bandwidth | Jika bandwidth puncak harian nama domain Anda lebih besar dari 10 Gbit/s dan Anda ingin membatasi Alibaba Cloud CDN bandwidth untuk nama domain, kirim tiket. Penting
|
Pemantauan real-time | Jika Anda ingin memantau bandwidth puncak nama domain secara real-time, Anda dapat menggunakan CloudMonitor. Setelah bandwidth nama domain mencapai ambang batas yang ditentukan, Anda diberi tahu tentang risiko potensial melalui pesan teks, email, atau pesan DingTalk. Untuk informasi lebih lanjut, kunjungi halaman produk CloudMonitor. |
Pengelolaan pengeluaran dan peringatan | Anda dapat menggunakan fitur-fitur berikut untuk memantau dan membatasi pengeluaran. Untuk mengonfigurasi fitur-fitur tersebut, arahkan pointer Anda ke Expenses di bilah navigasi atas console dan pilih Expenses and Costs.
Catatan Untuk memastikan integritas statistik dan akurasi tagihan, Alibaba Cloud CDN menerbitkan tagihan sekitar tiga jam setelah siklus penagihan berakhir. Waktu untuk mengurangi biaya terkait dari saldo akun Anda mungkin lebih lambat daripada waktu konsumsi sumber daya dalam siklus penagihan. Alibaba Cloud CDN adalah layanan terdistribusi. Oleh karena itu, Alibaba Cloud tidak menyediakan rincian konsumsi sumber daya Alibaba Cloud CDN dalam tagihan. Penyedia CDN lainnya menggunakan pendekatan serupa. |
Keamanan
Jika Anda menginginkan lebih dari fitur kontrol akses dan manajemen trafik, coba Edge Security Acceleration (ESA). ESA menyediakan fitur keamanan tingkat lanjut dengan perlindungan DDoS asli dan firewall aplikasi web. Ini menggunakan algoritma pembelajaran mesin Alibaba Cloud untuk menganalisis setiap permintaan untuk ancaman, memastikan keamanan bisnis.
Jenis serangan | Informasi latar belakang | Kemampuan ESA |
Serangan DDoS | Serangan DDoS HTTP/HTTPS, sering disebut sebagai serangan Challenge Collapsar (CC), menargetkan lapisan aplikasi web. Serangan-serangan ini meniru permintaan pengguna sah yang mirip dengan mesin pencari dan web crawler, sehingga sulit dibedakan dari aktivitas normal. Dalam layanan web, transaksi dan halaman yang menggunakan banyak sumber daya, seperti paging dan partisi, dapat menjadi target serangan CC ketika parameter besar menyebabkan terlalu banyak halaman bergulir, terutama selama konkurensi tinggi. Serangan CC dapat menggabungkan berbagai pendekatan, dengan operasi mirip pengguna yang sering, seperti bot pemesanan tiket. Serangan ini menyebabkan denial of service dan memengaruhi kinerja, seperti waktu respons web, layanan database, dan disk I/O. | ESA menyediakan DDoS perlindungan secara default untuk melindungi situs web Anda dari serangan DDoS berbasis volume dan serangan banjir HTTP. Berdasarkan paket yang berbeda, ESA menawarkan layanan perlindungan DDoS dengan kemampuan perlindungan yang bervariasi yang dapat disesuaikan dengan kebutuhan Anda. ESA bertujuan untuk meminimalkan downtime apa pun untuk memastikan situs web Anda kembali beroperasi secepat mungkin. |
Pencurian trafik | Pencurian trafik adalah ancaman yang melibatkan manipulasi dan pencurian trafik web. Serangan ini dapatdimitigasi dengan mengontrol frekuensi permintaan dari satu alamat IP, memvalidasi pengalihan, dan membedakan antara aktivitas manusia dan mesin. Untuk menangani serangan yang melibatkan banyak permintaan lambat, sistem keamanan menganalisis kode respons dan pola permintaan URL serta mengidentifikasi anomali di header Referer dan User-Agent. |
|
Referensi
Untuk informasi lebih lanjut tentang masalah perlindungan keamanan dan solusi, lihat FAQ.