V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
LnTrx
V2EX  ›  云计算

境内个人网站如何防范钱包遭到 DDCC?

  •  
  •   LnTrx · 162 天前 · 2148 次点击
    这是一个创建于 162 天前的主题,其中的信息可能已经有所发展或是发生改变。

    需求:

    1. 个人网站服务器(至少是 CDN )在中国大陆,以避免各种玄学访问问题
    2. 平时保证基本的境内访问速度体验(支持境外、Websocket 、IPv6 更优)
    3. 自动防止 DDCC 造成高额账单,防范措施的成本尽可能低

    已知:

    对于主流云服务,个人用户承受能力范围内的大多是超低带宽服务器,难以满足需求。因此往往采用 CDN 、对象存储等服务,面对终端用户的基本都是 CDN 。虽然 CDN 不太可能被打垮,但攻击者可以耗尽站长的钱包以实现拒绝服务。即使流量相对更便宜,仍能产生巨量账单。此前 V2EX 、hostloc 等社区已经有不少讨论,阿里云、腾讯云等服务商也有高额账单风险建议。但对于个人网站,当前的措施似乎仍然存在隐患:

    1. 防盗链、鉴权:恶意攻击者指定 Referer 没有难度。一般也不可能所有页面内资源都上鉴权,只要逮住一个刷就可以制造大量流量。
    2. WAF 、DDoS 防护:查过的几个大厂价格基本不属于个人用户的范畴。
    3. 黑白名单:只能事后补救,难以事前预防。
    4. 单请求限速:只能防最基础的小白,多请求、多节点就不好说了。
    5. 带宽 or 流量封顶:个人认为还算有点用。但是厂商通常会指出监控数据存在一定延迟,下线前产生的流量、带宽、请求数等资源消耗将会正常计费。(顺便一提,部分产品没有这个功能,例如阿里 DCDN 仅支持 10Gbps 级别的带宽限速,没有封顶选项)

    问题:

    对于主流大厂,使用 CDN 带宽封顶似乎是一个暂且能用的方案(尤其是腾讯、华为等,在配置界面直接支持 5 分钟级流量封顶、百分比告警、自动解封)。但这么做是否真能保住钱包?不知道是否有案例分享。

    另外,其它国内厂商是否会提供更好的解决方案?像 Cloudflare 这样能硬抗的“大善人”肯定不能指望,但我至少会希望:

    1. 有 CDN 方案支持达量限速,或者至少承诺余额用完不会倒扣钱。
    2. 跳出 CDN 的方案,服务器带宽够大也行,流量用完限速或停机。

    如果有,欢迎推荐。或者其它能解决问题的方案也欢迎讨论。

    注:网站自身成本<50 CNY/月,如果云原生且没什么人访问甚至可以<10 CNY/月,考虑防范措施后希望<100 CNY/月。

    17 条回复    2024-06-19 10:48:45 +08:00
    0o0O0o0O0o
        1
    0o0O0o0O0o  
       162 天前
    这个预算个人认为无,在这里讨论过,以及我的建议 https://www.v2ex.com/t/1005595#r_14160180
    LnTrx
        2
    LnTrx  
    OP
       162 天前
    @0o0O0o0O0o 利用微信生态有点意思,不过需求有一点区别。原帖提出的是抵御网络攻击,我需要的只是被打后不要倒扣钱。

    我目前发现有一点接近需求的选项:
    1. 腾讯云 EdgeOne CDN ,对于安全防护功能拦截的请求不进行计费,个人版 29.9 元/套/月 。疑点:“干净流量”识别是否准确,规则是否容易被绕过。
    2. 雨云宁波服务器,100Mbps 上下行,承诺不扣余额,最低 60 元/月。疑点:小厂不知道是否稳定,国内同类服务比较少见。
    kkk9
        3
    kkk9  
       162 天前
    你的 1 、2 需求在国内就是除了加钱还是加钱,一点白嫖的思想都不要有。

    国外,加钱上 cf 企业版即可
    LnTrx
        4
    LnTrx  
    OP
       162 天前
    @kkk9 其实好奇一件事,国内企业级市场存在保证不会倒扣钱的 CDN 么。

    国外个人版 Cloudflare 早就能满足需要了。
    drymonfidelia
        5
    drymonfidelia  
       162 天前 via iPhone
    @LnTrx 国外用 cloudflare ,cf 的销售动不动就来看你网站赚不赚钱,如果觉得赚钱就会找你收保护费,便宜的套餐没用
    drymonfidelia
        6
    drymonfidelia  
       162 天前 via iPhone
    我们小公司一个月也要给 cloudflare 几万
    drymonfidelia
        7
    drymonfidelia  
       162 天前 via iPhone
    cf 的企业版没有定价标准,全看销售觉得能从你这要到多少,后面我们转 fastly 了,一个月只要几千
    LnTrx
        8
    LnTrx  
    OP
       162 天前
    @drymonfidelia 不交钱会怎样?我没理销售,尽管用量很多也能 Free 用下去。
    drymonfidelia
        9
    drymonfidelia  
       162 天前 via iPhone
    @LnTrx 个人的话一般会先限速,企业的话有可能直接清退,销售权限很大
    drymonfidelia
        10
    drymonfidelia  
       162 天前 via iPhone
    对了上面我说的几万几千 单位是美元
    LnTrx
        11
    LnTrx  
    OP
       162 天前
    @drymonfidelia CF 个人用户体量很大,其中个别还有很客观的用量。除了明确违反 TOS (比如分发视频),我在社区暂时没看到限速的说法,不知道有出处么?企业赖在 Business 档位不升级也被清退,这是官方销售人员的明确说法么?
    LnTrx
        12
    LnTrx  
    OP
       162 天前
    @drymonfidelia 如果不交钱就拔线付费用户,那 CF 恐怕就违反了自己的 SLA ,除非能证明用户违反 TOS 。我查了一下相关讨论( https://news.ycombinator.com/item?id=35961697 ),比较有可能的是“不成比例的图片、音频文件或其他大文件”条款 ( https://www.cloudflare.com/service-specific-terms-application-services/#content-delivery-network-terms )。从讨论来看,对于企业用户,销售人员确实会要求升级到企业版,但不理这个请求一般没事。有一个疑似因此拔线的个案后来得到了官方的澄清( https://blog.cloudflare.com/zh-cn/how-cloudflare-erroneously-throttled-a-customers-web-traffic-zh-cn/ )。对于个人用户,虽然条款具有模糊性,但我暂时还没有看到不违规(按常人对这个条款的理解)也被限制的规模性报道。
    Yadomin
        13
    Yadomin  
       162 天前 via Android
    LnTrx
        14
    LnTrx  
    OP
       162 天前
    @Yadomin 这个案例还是比较特殊,处理方式确实很有问题,但说违反 TOS 至少还有点道理( https://x.com/eastdakota/status/1797489379411394969https://news.ycombinator.com/item?id=40481808 )。当然,有点偏题了。
    kkk9
        15
    kkk9  
       162 天前
    @LnTrx #4 国内市场不存在不扣钱的 cdn ,毕竟 https 请求都需要单独付费。
    LuminousKK
        16
    LuminousKK  
       161 天前
    腾讯的 EdgeOne 号称攻击流量免费,但也是价格高很多
    boluo
        17
    boluo  
       161 天前 via Android
    个人网站国内 3m 的话随便一被打就屏蔽公网了,阿里一般 90 分钟,腾讯上回一下子就 24 小时
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3269 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 12:23 · PVG 20:23 · LAX 04:23 · JFK 07:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.