前言小记:每次按下“写文章”,都是一次对灵魂的洗礼。
一、何为SCDN?
SCDN(Secure Content Delivery Network)就是具备安全防护能力的CDN服务,提供安全CDN带宽和独享资源。
二、SCDN相较于传统CDN的优点?
1. 安全性增强
SCDN拥有专业的安全防护机制,能够有效应对各种网络安全威胁,包括DDoS攻击、恶意CC请求和数据泄露等。这使得SCDN能够有效保护内容和用户的安全,防止刷量产生高额账单。
2. 独享资源
SCDN为用户提供独享的带宽和资源,避免了与其他用户共享资源可能带来的性能波动和竞争。这意味着用户可以获得更稳定、可预测的服务质量。
3. 定制化配置
SCDN通常提供更灵活的配置选项,用户可以根据自身需求进行定制化设置。这使得用户能够更好地适应特定的业务需求和流量模式。
三、酷盾SCDN在遭受攻击时的表现
为了测试在受到攻击时SCDN的表现,这里将从多个验证方式为大家直观的展现真实数据。
特意去TG群里吹水,找了人来免费测测压力。
一开始看起来这位老哥并不是很愿意(
不过后来付了一杯奶茶钱他还是帮忙测试了。
1.访问控制
顾名思义,这个就是对访问的一些验证,来判断请求是否异常。
1.1通用模式
用户体验:★★★★★
拦截效果:★
此模式仅适用于未受攻击的情况下,建议配合“自动提升防护等级-无感验证”使用最佳,无论是否被攻击用户均无感。
【15:00~15:10】我们测试了10分钟 每分钟5000+次攻击,100+QPS峰值,在此模式下(关闭自动提升防护等级)遭受攻击会有约60%~80%的异常流量到达源站。
1.2无感验证
用户体验:★★★★
拦截效果:★★★
此模式可适用于未受攻击的情况下,建议配合“自动提升防护等级”使用,但极端情况下可能会误封极小一部分正常用户。
【15:15~15:25】同样地,我们测试了10分钟 每分钟5000+次攻击,100+QPS峰值的攻击,在此模式下(关闭自动提升防护等级)遭受攻击会有约0%的异常流量到达源站,即全部无感清洗,期间网站速度无任何影响,用户访问无异常感知,因此我推荐的配置为通用-20-提升至无感或者无感-20-提升至五秒盾,具体提升至什么等级的防护要根据攻击情况而定,如果对方有穿盾措施那么就需要更高级的验证。
点击放大图片
相比上面仅增加了1000PV,应该是之前没开防御的统计误差。
1.3五秒盾
用户体验:★★★
拦截效果:★★★★
以下模式全部拦截异常流量,就不放图了,仅展示开盾时访客视图。
这个也还好,不需要用户操作什么就可以更强力地保护网站。
1.4点击验证
用户体验:★★
拦截效果:★★★★
从这个等级开始的验证都需要用户主动操作,体验会降低。
1.5滑动验证
用户体验:★★
拦截效果:★★★★
1.6验证码验证
用户体验:★
拦截效果:★★★★★
不推荐,用户体验不如用旋转图片验证。
1.7旋转图片验证
用户体验:★★
拦截效果:★★★★★
全力防御,验证互动趣味性强,适合一般防御措施不能应对的情况。
四、小插曲
上一篇文章提到了使用腾讯云edgeone(边缘安全加速平台)配合腾讯云COS桶来防刷,但是具体效果如何呢?
昨晚正好有“热心群友”来帮我测试了一番。
看得出来确实没防住啥,估计被打还是猛猛欠费而且EO的流量还贵的一批。
这里的攻击已经达到了每分钟14W,但是腾讯云依然在积极响应攻击请求,看得出来腾讯的带宽就是高啊(
此时我一度想到文件全放服务器,放弃存储桶,甚至已经下载好了,准备上传到服务器。
此时我想起了可以通过缓存在酷盾的SCDN节点来避免回源,从而减少腾讯那边的流量支出。
而这时,攻击已经到了每分钟25W次,4000的QPS(微博每天一个亿PV也就1500~4000的QPS)
不过好在酷盾这么抗住了 没有回源到EO,避免我遭受更大的损失。
群友也开始回忆起了《糕光食客》
大概是动静太大,深夜两点惊醒了酷盾老板,为我布置了缓解措施。
啸问题
可以看到流量明显下去了,且期间未影响任何正常用户访问。
再后来貌似是攻击者发觉攻击无效便主动放弃了攻击,一场闹剧终于结束。
与此同时,另一边……
要是没SCDN的话,腾讯客服再跟我扯扯皮我就真负资百万销号跑路了。
五、酷盾SCDN&腾讯云COS桶的高级操作
知道不少博友在用腾讯云存储桶,我也不吝啬,将自己的防护措施分享给大家。
1.思路
用户访问——静态服务域名——酷盾SCDN——腾讯云EdgeOne(可无此步或者换腾讯云CDN)——腾讯云COS存储桶
2.COS侧配置
首先我问了客服是支持第三方SCDN直接回源到腾讯云COS桶的,只需在SCDN源站设置填写COS的“全球加速域名”即可
当然,需要先配置桶的公有读权限。如果配合腾讯云的CDN则不用此步。(我是回源直接用的EO所以不用开启公有权限,因为刚买了套餐不用白不用。)
3.SCDN侧配置
看图
其余看情况配置,推荐开启TLSv1.3并使用HTTP1.1
4.域名CNAME解析
这个不用我说了吧,记得解析SCDN的地址。
5.SCDN侧防御配置(防刷量)
5.1.开启全路径缓存
5.2老规矩防盗链安排上
正好弥补了腾讯云EO不能空referer的不足
5.3SCDN规则配置(重头戏)
此处为防刷的核心规则
其中,默认防护必须选择“通用模式”且关闭自动提升。
通过限制速度来把刷量的IP全部拉黑。
匹配条件:
域名 包含 img.zyq.today(此处填你的静态资源域名即可)
执行过滤:
针对单个IP地址:
总请求允许 100次/10秒
同URL允许 30次/10秒
可按需调整。
在受到攻击时,也可根据业务实际需求开启屏蔽(部分)海外来进行暂时缓解,待攻击结束打开。
六、结语
如果你的业务真的需要速度和安全兼顾,那么可以考虑酷盾的SCDN,绝对是不二之选。
现在加入酷盾联盟每月还免费送流量,免费套餐也支持Anycast,快来试试吧(我没有被绑架
cdn,oss,cos 稍有不慎都会万劫不复,这几天把图片又转移回原有的服务器了。放弃了oss,不过这几天cdn各种问题,手机流量各种打不开网站,不加载图片,但是和客服反馈基本都没什么太大的效果。
目前就先这么运行着吧。
确实,没有SCDN最安全的方案就是放弃OSS,不过咱们这种博客站其实做不做动静分离都问题不大~
还有,你的网站打不开的原因找到了,你的域名https://h4ck.org.cn/被江苏反诈劫持了,可以在这里检测,具体解决方法可以看我这篇文章,我还注意到你有很多其他域名做了跳转,建议统一检测一下有没有被劫持。
检测了一下,一会提示被劫持,又试了一次有没有被劫持。这个检测结果准确吗?那些跳转的倒是无所谓。感觉貌似不单纯是劫持的问题。iphone流量大概率打不开网站,之前安卓也一样,现在尝试各种修改配置安卓好了,但是iphone没啥变化。哈哈哈
准确的,多次检测只要有一次显示异常就是被劫持,至于换设备、改配置、换网络等各种折腾访问网站时好时坏的原因也是被劫持,是否能打开网站取决于分配到的CDN节点,如果该节点被劫持那么就是异常,折腾一下可能就又可能换了个响应的CDN节点,这时就能正常访问了。之前 风记星辰 网站也遇到了同样的问题,填写表单即可,通常24H内解决。
这个是真牛,已经提交了申诉了。多谢啦·~~
另外我为啥不显示头像呢?不是用的gravatar?
我这面看是正常的,镜像源是cdn.v2ex.com,不过感觉都不太稳,空了想自己弄个镜像服务器用哈哈哈
查看图片
这,根本不正常啊
强制刷新了下,确实是源又挂了,刚换了个就可以了,,,不过感觉他们的镜像好不稳啊,啥时候自己搭建个好了。
现在有了,我自己用cf反代了一个 https://g.obaby.blog
卧槽有操作有操作,这就去你博客学习一下
搞定了,我的方案是:用户访问——头像服务域名——酷盾SCDN——腾讯云EdgeOne——腾讯云COS存储桶——gravatar.com,头像在SCDN侧缓存1天,不忽略参数。
了解过EO,但是很想知道它和SCDN有什么区别,除了价格比较低,难道还有个区别就是防不住吗?
主要是个人版的EO限制了太多功能,包括不能自定义防护规则之类的,验证也只有非常宽松的js挑战(就算是攻击流量都会观察好久才进行验证),所以根本拦不住
速度确实可以,但其实我更在乎安全~