阿里云的 esa 好用吗？ cdn 被刷技术人员建议我 waf 套在 cdn 前面用

3 天前

wtotal

5 月底被扬州 ipv6 骚扰，封掉 ip 还不停刷到现在
240e:e9:b00c:1:ffff:ffff:ffff:f9cf
240e:e9:b00c:1:ffff:ffff:ffff:bace
240e:e9:b00c:1:ffff:ffff:ffff:bd0e
240e:e9:b00c:1:ffff:ffff:ffff:f10e
240e:e9:b00c:1:ffff:ffff:ffff:ffae
240e:e9:b00c:1:ffff:ffff:ffff:9a40
240e:e9:b00c:1:ffff:ffff:ffff:931c
240e:e9:b00c:1:ffff:ffff:ffff:95f4

普通 cdn 好像只能限速，手动查日志封 ip 这两种稍微有效一点，没有自动根据策略啥的来做限制。

只能改用 esa 来做防护吗？ esa 能彻底防御被刷？

另外：

现在用 cdn 套 waf ，一个普通请求都上 100ms ，技术人员说要解决只能用其中一个，或者更换自带 waf 的 cdn 产品（因为节点越多延迟越高）。
我搞不懂，用了这两个独立产品就一定会变这样吗？互联网是这样运作的吗？（以前想不通，现在觉得物理情况确实如此）

1821 次点击

所在节点

云计算

16 条回复

ZeroClover

3 天前

ESA 确实一定程度上可以减少被刷，毕竟有安全功能可以识别、限流、屏蔽

但是完全杜绝是不可能的

CDN DCDN 都没有任何安全功能，没用，WAF 也没用，WAF 是为了防止 7 层攻击而不是防止账单攻击的

l12ab

3 天前

腾讯云好像有，在一定时间内（每 5 分钟/60 分钟/24 小时等等），达到一定的阈值（流量/速率/请求数），可以自动关闭 CDN 服务

realpg

3 天前

玩不起的不要用 CDN 就好了
大文件加鉴权
静态小文件那点东西刷就刷吧一个月也刷不到 10TB

Shiroka

3 天前

关闭 IPv6 支持，至少封 IPv4 更省力

armstrongvs

3 天前

ESA 管用，可以把发现的 ip 封掉，也可以对这些 ip 限频。

guanyujia5444

3 天前

DCDN 或者 ESA 可以带边缘 WAF 的，但 WAF 只是应用防火墙，一般还是针对业务攻击，正常合理的下载文件 WAF 也没办法封。可以尝试下对 CDN 配置下防盗链、鉴权什么的。另外对于加黑名单，有个思路可以试试，比如写个小工具，对 CDN 日志统计，对于恶意访问的 IP ，通过阿里云 API 加到 CDN 黑名单里面。

Kinnice

3 天前

240e:e9:b00c:1:ffff:ffff:ffff: 这个可以报警了，年中了给冲冲业绩。

liuzimin

3 天前

能彻底防御被刷。我们之前就是这么解决的。
另外不要设频率阈值，要设流量阈值。。。现在那些狗东西学精了，请求频率给你放得慢慢的，但流量拉满，一晚上照样能绕过我们的 WAF 刷掉几个 T ，后来改成流量阈值就老实了。他们不就是要刷大流量吗，短时间内流量一大 WAF 就会自动给他拉黑 IP 。

liuzimin

3 天前

延时方面我们没有注意，感觉没有明显的性能下降

hackroad

3 天前

腾讯云的 EO 比阿里好用

renfei

3 天前

240e:e9:b00c:1::/64
这个在我日志里也是老熟人了

deavorwei

3 天前

小白请教一下，这些人刷 CDN 流量有啥好处吗？竞争对手公司干的？

Aicnal

2 天前

我个人博客用的 CDN 都封掉了 IPv6 访问

raphx

1 天前

用 cf 吧

gether1ner

8 小时 20 分钟前

可以搞 EO ，我这有优惠。v：Jack_Napier__

blakefan

26 分钟前

静态资源加有效期，然后设置一定的访问规则，基本可以解决，之前是这样处理的

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1138377

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.