網域名稱被攻擊或流量盜刷的影響和解決方案 - Edge Security Acceleration

當您的網域名稱因惡意攻擊或流量盜刷而產生突發的高頻寬或大量流量消耗，從而導致賬單超出日常消費金額時，這類因惡意攻擊或流量盜刷而產生的高額賬單無法免除或退款。為盡量避免此類風險，本文將為您介紹應對這類情況的方法。

潛在風險：惡意訪問帶來高額賬單

在攻擊行為發生的時候，實際消耗了ESA的頻寬資源，因此您需要自行承擔攻擊產生的流量頻寬費用。
客戶流量被惡意盜刷而產生突髮帶寬增高的情況與被攻擊的情況類似，因為實際消耗了ESA的頻寬資源，所以您需要自行承擔攻擊產生的流量頻寬費用。

連帶風險：賬單金額可能會超出賬戶餘額

在網域名稱被惡意攻擊或者流量被惡意盜刷的情況下，極易出現高額賬單，連帶出現的風險是賬單金額往往會超出您的賬戶餘額。

重要

ESA預付部分流量使用完畢後，會產生後付費及對應賬單，其賬單金額受計費周期（如按小時出賬，按天出賬、按月出賬等）和賬單處理時延（阿里雲ESA產品出賬存在3~4小時延遲）等因素的影響，無法在賬戶餘額為0的情況下立即停機，因而可能會出現欠費金額大於0，或者單條賬單的欠費金額直接超出您的延停額度範圍。

阿里雲提供延期免停權益，如果您開啟了該服務，當您的賬戶欠費後，阿里雲會根據您的客戶等級或歷史消費等因素，提供一定額度或時間長度繼續使用雲端服務的權益，每個月自動計算並更新延停額度。

排查方式

說明

高額賬單的產生主要是由於惡意訪問帶來的流量激增，而產生相對於平時極高的費用。以下為您介紹流量激增的排查方式，方便您定位具體原因，詳細的解決方案參考應對辦法。
在出現異常流量突增的時候，建議您先通過安全分析頁面來查看流量異常原因（例如：異常的TOP用戶端IP，異常的TOP Referer等）。當然您可以通過分析即時日誌，來判斷是什麼原因產生的頻寬突增。然後根據具體的原因在控制台為網域名稱針對性的配置安全防護措施，以避免產生不必要的流量頻寬消耗。

排查方式	說明
離線日誌	ESA提供了按小時粒度打包的離線Log Service，您可以下載31天內任一時間區間的網站訪問日誌到本地儲存，方便您最佳化網站的加速策略，監控、診斷潛在問題和瞭解使用者的訪問行為等。
即時日誌	通過即時日誌投遞功能可以即時採集系統、應用程式或裝置操作的日誌，並投遞到指定處理平台上進行儲存和分析，能夠有效保護資料安全，快速監控，定位業務問題和最佳化內容分發效能。

應對辦法

阿里雲ESA會對客戶頻寬突增情況進行檢測，如發現異常流量，則會根據客戶正常業務訪問量以及異常流量總體負載情況來評估是否對突發流量採取限流或者收斂到特定ESA節點上等措施（不會100%觸發限流或者斂到特定ESA節點上，具體請參考使用限制中的突髮帶寬/QPS限流規則）來保障全網使用者的穩定性，由此導致的可用性問題，阿里雲不承擔責任。
為保障服務的正常運行和避免出現高額賬單，建議參考本文檔開啟防護功能或者對流量進行相應的存取控制。

配置安全防護

防護措施	功能說明
配置WAF自訂規則	如果您的網站需要自訂控制使用者的存取原則，您可以在自訂規則中佈建要求匹配條件，並通過攔截、觀察等方式控制匹配到的使用者請求，協助您的網站更加靈活的限制使用者可訪問的內容。
配置WAF頻次控制規則	頻次控制用於抑制某一類特徵的請求訪問，例如同一個用戶端IP在某一段時間內高頻訪問您的網站，您希望在超過某個閾值後使用滑塊控制其訪問頻次或拉黑一段時間，即可使用頻次控制功能。
配置WAF託管規則	SQL注入、跨站指令碼、代碼執行、CRLF、遠程檔案和WebShell等入侵型攻擊一般難以察覺且危害大，很難使用自訂規則、頻次控制等規則自行配置攻擊特徵進行防護。託管規則是阿里雲系統內建的智能託管防護規則，可以智能防護OWASP攻擊和最新的來源站點漏洞攻擊，您可以直接啟用各類攻擊的防護而無需手動設定和更新。
配置WAF掃描防護規則	掃描防護模組通過識別掃描行為和掃描器特徵，阻止攻擊者或掃描器對網站的大規模掃描行為，對攻擊源執行攔截操作或自動拉入黑名單，協助Web業務降低被入侵的風險並減少掃描帶來的垃圾流量。
配置WAF白名單規則	白名單規則允許您根據業務情境，自訂允許存取具有指定特徵的請求，使請求不經過全部或特定防護規則（自訂規則、頻次控制、託管規則、掃描防護、Bot管理）的檢測。
建立Bots規則集	Bots支援簡易模式和進階模式的配置。通過簡易模式您可以快速的為當前網站配置爬蟲管理，而進階模式提供了更為精準的爬蟲規則，方便您針對性的對網站或APP作出調整。
配置DDoS防護	當您使用一般的代理加速服務且遭受DDoS攻擊時，代理加速服務商通常會停止您的加速服務。而ESA將預設為您提供DDoS防護，根據不同的套餐，ESA提供不同防護能力的DDoS防護服務，縮短服務暫停時間，以確保您的網站在攻擊期間能夠儘快恢複正常營運。

開啟流量管理

建議您使用CloudMonitor產品設定產品層級或者網域名稱層級的頻寬監控規則（參考文檔：為ESA建立警示規則），及時瞭解流量或者頻寬的使用方式並發送異常警示。在出現異常頻寬突增的情況下，還可以給網域名稱配置頻寬限速、請求限速等策略。

流量管理項

功能說明

設定即時監控

如果您要即時監控網域名稱的頻寬峰值，可以使用CloudMonitor產品的雲產品監控功能，設定對ESA產品下指定網域名稱的頻寬峰值監控，達到設定的頻寬峰值後將會給管理員發送警示（簡訊、郵件和DingTalk），便於更加及時地發現潛在風險。詳細請參見CloudMonitor產品詳情頁。

設定費用預警

您可以在控制台右上方功能表列費用選擇費用與成本，通過設定以下這三個功能來更好地控制賬戶的消費額度，避免產生過高的賬單。

可用額度預警：您可以設定賬戶餘額低於一定金額時即向您傳送簡訊警示。
啟用延停額度：您可以選擇關閉該功能，這樣在帳號欠費時會立即關閉業務，以避免產生更多消費。
高額消費預警：您可以開啟預警，設定產品日賬單大於預警閾值時將會傳送簡訊警示。

說明

為了保證計量資料統計的完整性，確保賬單的準確性，ESA產品需要在記賬周期結束後大約3個小時才能產生實際的賬單。