腾讯 CDN 在 2023 年 1 月 5 日开始对 cdn 的 https 请求计费。价格为每万次请求 0.05 元 /万次请求。
但是在恶意攻击时,用户会产生天价的可能会产生费用。
比如一个随便主机,可以每秒钟发起 220 次 https 请求,每分钟发起 13000 次请求。每小时 80 万次。 这样一天下来会有约 100 元的 https 请求费用。一个月会有 3000 的请求费用。
下面的信息是被攻击后的流量和请求数:
总流量 65.16 GB 平均流量命中率 56.3 % 请求数 2602.35 万
如果你在腾讯云里预存的费用较多,恭喜你要当冤大头了。 估计预存费用用完后才发现。
如果你发现了被攻击,然后按照腾讯官方的建议,需要设置 CDN 业务的 QPS 、IP 黑名单、区域限制。这样请求的状态码为 514 。不计费。
https://cloud.tencent.com/document/product/228/11201#m2-5
Q:IP 限频产生的 HTTPS 请求数是否计费? A:IP 限频、IP 黑白名单、区域访问控制产生的 HTTPS 拒绝请求均不纳入 HTTPS 计费数据,状态码为 514 。
Q:IP 黑白名单产生的 HTTPS 请求数是否计费? A:IP 限频、IP 黑白名单、区域访问控制产生的 HTTPS 拒绝请求均不纳入 HTTPS 计费数据,状态码为 514 。
上面的措施中,IP 黑名单、区域访问控制,都是被攻击后的针对攻击者 IP 和区域的事后措施。唯有 QPS 可以事先设定,预防攻击导致的费用。
然而,不幸的是,腾讯 CDN 业务的 https 计费可能是推出太仓促,上述规则并不一定生效。设置 QPS 后,请求的状态码为 403 ,仍然会计费。 打电话找客服,客服说先扣费。 如果确认是设置了 QPS ,下个月会返还。
xxxxx 2023-01-14 11:51:06 你们的方案是 现在你们的业务系统有问题。 每小时会扣 5 元,每天扣 120 ,每月 3600 先扣费。 然后在下个月再返回给我? 为什么你们的业务逻辑问题,需要用户承担这部分费用?
腾讯云工程师 2023-01-14 11:53:26 您好,配置 ip 黑名单后依然先返回 403 状态,未返回 514 不计费问题这边会尽快进行修复解决;
对于先扣费,再退您费用的方案这边再沟通核实下,请稍等。
没法子,只能先停了腾讯的 CDN 业务。客户也建议我停掉,要不就先把存几千块,让计费系统先扣了再算账。
1
eason1874 2023-01-14 12:52:10 +08:00
HTTPS 计费都这个鸟样,阿里云那些连拒绝请求都计费的,腾讯云能有个免费的 514 拒绝状态码都算不错的了(虽然还没实现)
我的建议是改用别家不收请求费的 CDN ,比如百度智能云,华为云 |
2
gowl 2023-01-14 12:54:53 +08:00
我一直觉得 CDN 的收费方式比较奇怪,没有上限,你也没法控制。先试试优化下网站,不用 CDN 看看。
|
3
yangtzi OP 对攻击者,已经报案了。 得到了报案回执。
也投诉到了攻击者的运营商。 云服务,真是一个大坑。。。 我的网站,流量不大。 用户试用的时候希望快速的下载 软件和资源。 一个月 1-2TB 流量。 下载速度希望在 10MB/s 。 有什么推荐吗? 一般的云主机,按照带宽计费。太贵了。 有没有流量包月,带宽不错的 主机或者 云存储? 使用腾讯 cdn 的费用大约 0.1 元 /GB 。 |
4
westoy 2023-01-14 13:35:45 +08:00
被攻击本来就两个处理方案啊, 要么 IDC 把客户干掉, 要么客户出钱硬撑
对 IDC 来说, 两种客户是最优质的, 一种是不差钱的, 一种是吃灰 所以其实这不是 bug, 这是 feature 一般应用其实真没必要上 CDN , 也不是电信联通之间比绕地球一圈还慢的时代了 |
5
herozzm 2023-01-14 13:38:26 +08:00
拉入 ip 黑名单是返回 403 ,依然计费的,并不是 op 说的不计费,所以最好的办法是迁移走
|
6
star7th 2023-01-14 13:39:22 +08:00 1
|
7
herozzm 2023-01-14 13:40:18 +08:00
https://www.v2ex.com/t/900890
我上次咨询客服的答复是返回 403 计费是正常行为,无法退费 |
8
ttyhtg 2023-01-14 14:01:35 +08:00
@eason1874 最终结果可能是百度和华为都像腾讯阿里学习,我记得坛里有个大佬搞了一个类似聚合 CDN 的,很便宜,但是需要大佬审核项目内容,楼主可以搜搜
|
9
guowq 2023-01-14 15:00:25 +08:00 via Android
国内还好,尤其国外 ip ,直接拿 10G 口消耗流量
|
10
lhx2008 2023-01-14 15:12:21 +08:00
可能云厂商觉得 CDN 这种就不是给个人和小公司的,特别是 1 月 5 号改了之后,我就赶紧换到百度云了
|
11
airplayxcom 2023-01-14 15:20:29 +08:00
以前我的 1ip 博客 就算不报漏洞 那点 cdn 都不够用呢
|
12
makelove 2023-01-14 15:24:15 +08:00
@lhx2008 大公司也受不了吧?随便注册 100 台 10$包年的国外便宜小机攻击对方 cdn ,那一个月就能让对方损失 30w 还阻止不了?
|
13
RulesOS 2023-01-14 15:33:56 +08:00
这个操作伤不起。
|
14
woshinide300yuan 2023-01-14 15:46:15 +08:00
请求数计费真的蛮伤,我都考虑海外存储了,毕竟 https 请求不计费。 现在用的 ucloud CDN 不计请求费用。只有 get 请求类的计费,0.01/万次。 但 UCLOUD 随时改游戏玩法是真的,以前 CDN 资源包不限时呢,现在也 12 个月了。
|
15
westoy 2023-01-14 15:46:51 +08:00
@makelove
DDOS 可以投诉 IDC 或者 ISP 的, 老外有些机房发现客户在扫端口、发垃圾邮件或者 DOS 都会直接格掉的。 一般都是肉鸡或者各种软件甚至运营商一些节点的 0day , 但总的来说攻击也是有成本的 而且别说现在大公司用流量清洗的硬防都是标配了, 甚至二十年前做 SF 和 SF 发布的, 都是用浙江、广东那边的高防机器的, 赚钱的几家一个月在这方面的支出也要六七位数 |
16
kincaid 2023-01-14 16:05:06 +08:00
这种确实太坑了,一不小心就容易被刷死
|
18
zeze0556 2023-01-14 16:21:56 +08:00
我们请求量大的按照请求次数根本伤不起。必须用 https ,我估算了一下,换算成按次计费的话,我们正常月份直接飘到 5 倍的费用,特殊就可能 10 倍多了。玩不起了
|
19
iqoo 2023-01-14 22:30:59 +08:00
每月可能产生数千元 https ,大胆点,每月->每小时
|
20
yangtzi OP 被腾讯和攻击者搞的没有办法。
我想着让 腾讯 cdn 能返回 514 。 首先,把 refer 的检查去掉。 然后,用户请求的是一个被删除的文件。我把这个文件加回来。 然后重新开启 cdn 。 然后呢,攻击者在请求到文件后,就没有再发送请求了。 查看请求者的 UA ,是一个 windows 主机。 说明了啥? 估计是用户就是开启了一个迅雷下载之类的 P2P 下载工具。 然后 下载的资源被 cdn 限制。返回了 403 。 但是下载工具不屈不饶的发送请求(频率达到 200 次每秒)。 等我在 cdn 侧模拟了用户的这个资源,允许下载后,对方的下载软件检查到下载成功,就停止下载了。 于是业务就恢复了正常。 于是整个事件的剧情就成了: 流氓迅雷(揣测对方是迅雷下载) 和 狗日的腾讯 干上了。 让我的银子哗哗的往下掉。。。 所以 用腾讯的 CDN 的小心一下。你用户的一个 多线程 下载工具的反复尝试,就可能导致你收到一个天价的 https 请求账单。 如果从攻击的角度,https 请求的攻击,显然比流量攻击更经济。 |
21
neutrinos 2023-01-14 23:17:35 +08:00 via iPhone
我是用蜜罐、脚本分析请求,然后自动调用阿里云接口把恶意 ip 加黑名单
|
22
hanguofu 2023-01-15 00:27:15 +08:00 via Android
百度智能云 cdn 不收请求费吗?我记得是要收的。百度智能云 cdn 默认只提供 http 连接,如果用户需要 https 连接,必须另外购买 https 请求(流量?)包,也是十几块钱十万(?)次 https 连接,超过的话就不知道怎么算了。
|
23
realpg 2023-01-15 11:10:35 +08:00
|
24
star7th 2023-01-15 19:22:56 +08:00
@realpg 我刚才去看了下,四张图片,两张被分配到宁德,其他有浙江福州和福建福州。
另外我想说一下一下,cdn 是内容分发的意思,并没有规定一定要就近地理位置取节点。复制一下 dfyun 首页的宣传文案 传统 cdn 以速度为最高优先级,会优先选择速度最快的节点。这样会导致流量高度集中在热门地区(如北上广),而非热门地区(如一些二三线城市)的带宽一直闲置。我们改善了调度算法,会将流量调度到“不是最快的但是可以正常访问”的节点,充分利用闲置资源,降低成本,并且能做到自动容灾切换,保证服务稳定可用。 |
25
idc906 2023-08-15 15:21:58 +08:00 via iPhone
刷 CDN 的都是 CC 攻击,这种模拟真实 ip 访问的,腾讯云会默认这是真实用户,所以会造成扣费的,一般这种攻击的,都是不想花成本比较高的 DDOS 攻击来恶心你,如果还有遇到攻击的问题,可以联系我 好用不贵支持测试 微 idc906
|