cdn 被盗刷

“情况报警能被受理吗”

受理是会受理的，毕竟你都有经济损失了，我这边去都录笔录了。但后续能不能让烂皮炎攻击者绳之以法，就不知道了。

@liuzimin 并不会 你用啥云服务都一样的,而且华为云还没有阿里云好用

@duanxianze 唉，是吧。我猜也是。。。目前还在受攻击。真是难搞。

@liuzimin 确实有一种假设，像云厂商内部完全可以有独立的队伍（对外肯定称不是自己人）搞这种对自家已经建立依赖的商业客户进行攻击的操作，然后让你买他的防御业务，等你买了一段时间后，攻击升级，你的防御也得被迫升级。真是这样的话，直接变成云厂商玩具算了。

@liuzimin 攻击 ip 固定的话，可以直接封 ip

@liuzimin #21 3000 以下不立案

@tianzi123 我们目前损失近 6K

我呸，这就是 cdn 厂商自己干的

@test9106 是的，攻击我们的 IP 比较固定，我们最开始也是拉黑名单。后来同事说设白名单不是更狠吗，就直接把服务器域名设为白名单。结果昨晚被爆破了。。。

问阿里云售后，说什么 waf 白名单的意思，是指白名单里的主机流量不会受 waf 审查，直接放行，但不拒绝白名单以外的流量！！不拒绝！！我操。还有这种白名单，我真他妈吐了。文档里好像也没写啊。

cdn 可以添加规则吗？针对 IP 的访问次数

@kyznever 升级 DCDN 后有个 waf 安全防护，可以建立自定义规则限制请求频次，超过频次就拉黑该 IP 。。。但是有的攻击者很聪明伶俐，发现对方有这个防护，就把请求频次变低，但一样拉满带宽，绕过频次限制，继续攻击。

想到一个方案：单独整台固定带宽的服务器当入口，比如就 2M 或 5M 啥的，然后有攻击的话把流量切换到 cloudflare 。这样固定带宽有攻击也就是被打黑洞，起码不会有额外费用

@liuzimin 还是直接把攻击 IP 放黑名单比较靠谱，并且这个不需要 waf ，cdn 就有这个功能，没有额外费用。

@test9106 主要是怕攻击者 IP 会变，所以还是想在 waf 里配一个阈值规则。

@test9106 而且好像 cdn 不太好查看攻击者 IP ？我暂时没找到地方。waf 的攻击者 TOP10 列表看攻击者 IP 挺直观的。

@liuzimin 可以从 cdn 日志里找

cdn 添加 url 鉴权吧，找客服要优惠卷!

最近做了公司内部 CDN 流量预警方面的功能，目前根据各平台 CDN Top20 的 IP 访问流量和访问次数作为依据（这方面数据可以用 SDK 获取），同时结合业务的相关访问日志，然后设定对应规则，到达阈值自动封禁，单 IP 类可能误封，因为有可能是局域网的出口 IP ，可根据具体实际情况看待；但如果是 C 类地址网段类基本上能确认封禁。国内的话目前还是比较推荐腾讯云 EdgeOne ，安全防护类的功能相对性完善一点，比如常见的 Web 防护，Bot 管理之类的

@test9106 联通的网段就是整块的，比如某个区域的出口用一个/24 ，这个区域下面如果几百条宽带刷你的话，你看到的就是这个效果。你给个 IP 我瞅瞅就造了

@FabricPath 比如 119.188.60.0/24