阿里云的 esa 好用吗? cdn 被刷技术人员建议我 waf 套在 cdn 前面用

95 天前
 wtotal
5 月底被扬州 ipv6 骚扰,封掉 ip 还不停刷到现在
240e:e9:b00c:1:ffff:ffff:ffff:f9cf
240e:e9:b00c:1:ffff:ffff:ffff:bace
240e:e9:b00c:1:ffff:ffff:ffff:bd0e
240e:e9:b00c:1:ffff:ffff:ffff:f10e
240e:e9:b00c:1:ffff:ffff:ffff:ffae
240e:e9:b00c:1:ffff:ffff:ffff:9a40
240e:e9:b00c:1:ffff:ffff:ffff:931c
240e:e9:b00c:1:ffff:ffff:ffff:95f4



普通 cdn 好像只能限速, 手动查日志封 ip 这两种稍微有效一点, 没有自动根据策略啥的来做限制。

只能改用 esa 来做防护吗? esa 能彻底防御被刷?


另外:

现在用 cdn 套 waf ,一个普通请求都上 100ms ,技术人员说要解决只能用其中一个,或者更换自带 waf 的 cdn 产品(因为节点越多延迟越高)。
我搞不懂,用了这两个独立产品就一定会变这样吗?互联网是这样运作的吗?(以前想不通, 现在觉得物理情况确实如此)
2948 次点击
所在节点    云计算
16 条回复
ZeroClover
95 天前
ESA 确实一定程度上可以减少被刷,毕竟有安全功能可以识别、限流、屏蔽

但是完全杜绝是不可能的

CDN DCDN 都没有任何安全功能,没用,WAF 也没用,WAF 是为了防止 7 层攻击而不是防止账单攻击的
l12ab
95 天前
腾讯云好像有,在一定时间内(每 5 分钟/60 分钟/24 小时等等),达到一定的阈值(流量/速率/请求数),可以自动关闭 CDN 服务
realpg
95 天前
玩不起的不要用 CDN 就好了
大文件加鉴权
静态小文件那点东西刷就刷吧 一个月也刷不到 10TB
Shiroka
95 天前
关闭 IPv6 支持,至少封 IPv4 更省力
aG6uncl6Syb0brhs
95 天前
ESA 管用,可以把发现的 ip 封掉,也可以对这些 ip 限频。
guanyujia5444
95 天前
DCDN 或者 ESA 可以带边缘 WAF 的,但 WAF 只是应用防火墙,一般还是针对业务攻击,正常合理的下载文件 WAF 也没办法封。可以尝试下对 CDN 配置下防盗链、鉴权什么的。另外对于加黑名单,有个思路可以试试,比如写个小工具,对 CDN 日志统计,对于恶意访问的 IP ,通过阿里云 API 加到 CDN 黑名单里面。
Kinnice
95 天前
240e:e9:b00c:1:ffff:ffff:ffff: 这个可以报警了,年中了给冲冲业绩。
liuzimin
95 天前
能彻底防御被刷。我们之前就是这么解决的。
另外不要设频率阈值,要设流量阈值。。。现在那些狗东西学精了,请求频率给你放得慢慢的,但流量拉满,一晚上照样能绕过我们的 WAF 刷掉几个 T ,后来改成流量阈值就老实了。他们不就是要刷大流量吗,短时间内流量一大 WAF 就会自动给他拉黑 IP 。
liuzimin
95 天前
延时方面我们没有注意,感觉没有明显的性能下降
hackroad
95 天前
腾讯云的 EO 比阿里好用
renfei
95 天前
240e:e9:b00c:1::/64
这个在我日志里也是老熟人了
deavorwei
95 天前
小白请教一下,这些人刷 CDN 流量有啥好处吗?竞争对手公司干的?
Aicnal
95 天前
我个人博客用的 CDN 都封掉了 IPv6 访问
raphx
94 天前
用 cf 吧
gether1ner
93 天前
可以搞 EO ,我这有优惠。v:Jack_Napier__
blakefan
92 天前
静态资源加有效期,然后设置一定的访问规则,基本可以解决,之前是这样处理的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1138377

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX