V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
herozzm
V2EX  ›  问与答

关于良心云 cdn 黑名单 ip 返回 403 也产生大流量计费的情况,大家怎么处理的?

  •  
  •   herozzm · 2022-12-07 20:49:23 +08:00 · 1376 次点击
    这是一个创建于 715 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我将某些机器人 ip 拉入了 cdn 后台的黑名单中,cdn 就会返回了 403 ,会产生头部 header 返回流量,但是这些机器人坚持不懈,累计产生了很大的流量(每天快 10G ),消耗了大量流量包余额。

    咨询客服后得知这些返回 403 的流量也是要正常扣除付费流量包的,
    我就懵了,既然已经拉入了黑名单,不应该将这个返回 403 的流量费用让用户承担了,客服表示无能为力,就是算你头上了,我觉得从技术角度实现不难识别这些 403 流量从而刨除。

    良心云 cdn 的兄弟们接一下工单?
    16 条回复    2022-12-08 23:24:26 +08:00
    eason1874
        1
    eason1874  
       2022-12-07 22:34:09 +08:00
    拒绝响应,不止流量要计费,请求也照常计费。其他 CDN 厂商也是这样的,不管什么状态码都照常收费。拉黑只是不再回源,由 CDN 返回拒绝访问的页面,所以也是收费的

    技术上可以排除,但是厂商认为你被攻击也是你带来的流量,你得自己承担代价。反正厂商不会亏的。有一点估计你不知道,CDN 厂商连 TCP 协议开销都给你算到流量里的,实际计费流量大概是你使用的 HTTP 流量的 110%

    要便宜,我建议百度智能云,流量包便宜,不收请求费,而且支持边缘脚本(用它可以自定义任意路径的 header 和 body ,包括拒绝响应,单个请求最低流量估计可以做到两三百字节
    herozzm
        2
    herozzm  
    OP
       2022-12-07 22:37:51 +08:00
    @eason1874 T_T#
    Aloento
        3
    Aloento  
       2022-12-07 22:44:03 +08:00
    都什么年代了,还用腾讯云
    herozzm
        4
    herozzm  
    OP
       2022-12-07 22:46:30 +08:00
    @Aloento 那用啥?
    huangzxx
        5
    huangzxx  
       2022-12-07 23:22:49 +08:00
    是不是应该在 WAF 这里拦?
    lhx2008
        6
    lhx2008  
       2022-12-07 23:31:00 +08:00
    这种就是公司不在乎,个人肉疼。我不在乎回源流量,就是 CDN 缓存调成 0 ,然后做了个 WAF ,侦测到 CC 的话就 hang 住 59s 再返回,亲测有效
    herozzm
        7
    herozzm  
    OP
       2022-12-07 23:48:46 +08:00
    @lhx2008 WAF 也不便宜啊
    herozzm
        8
    herozzm  
    OP
       2022-12-07 23:49:03 +08:00
    @huangzxx WAF 能套在 CDN 前面吗?
    lhx2008
        9
    lhx2008  
       2022-12-07 23:50:45 +08:00
    @herozzm 自己拿 go 写的,不要钱,CDN -> (WAF -> 源,在一起)
    Xusually
        10
    Xusually  
       2022-12-08 09:52:25 +08:00 via iPhone
    @lhx2008 问题是你这么做连接数很快就用完了啊,攻击的时候本身连接数就暴增,这么干不是杀敌八百自损一千么,大概是自己把 cc 攻击变成了 DoS 攻击
    huangzxx
        11
    huangzxx  
       2022-12-08 21:20:20 +08:00
    @herozzm 可以的。WAF 可以部署在 CDN 和 LB 上
    lhx2008
        12
    lhx2008  
       2022-12-08 21:49:24 +08:00
    @Xusually server 端的连接数并没有限制,连接数 CDN 节点那边处理就可以了,等于把压力给了 CDN
    Xusually
        13
    Xusually  
       2022-12-08 22:24:55 +08:00 via iPhone
    @lhx2008 我看你前面写 cdn 不缓存 完全回源 这样才全都走你的 waf 吧
    Xusually
        14
    Xusually  
       2022-12-08 22:26:07 +08:00 via iPhone
    @lhx2008 这样的话 cdn 并没有对攻击有任何的减轻 全部回源了 压力在你这边 攻击的情况下 你每个链接 hang 这么久 连接数很快就耗尽了
    lhx2008
        15
    lhx2008  
       2022-12-08 22:35:10 +08:00
    @Xusually 链路是 客户 -> CDN -> WAF -> 源,CDN 少说也有几百个节点,每个节点都可以发起 65535 条连接,CDN 那边也会控制客户的连接数的,要不然大网站的 CDN 都不用玩了
    Xusually
        16
    Xusually  
       2022-12-08 23:24:26 +08:00
    @lhx2008 没有说 CDN 节点和用户。
    我是说你 CDN 缓存时间 0 了,每次请求都回源站,CDN 那边根本就没有压力。
    压力直接面对你 waf 了啊,每个请求 hang 这么久,waf 的连接不耗尽?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2779 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:30 · PVG 08:30 · LAX 16:30 · JFK 19:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.