腾讯 CDN 爆计费漏洞,每月可能产生数千元 https 请求费用
腾讯 CDN 在 2023 年 1 月 5 日开始对 cdn 的 https 请求计费。价格为每万次请求 0.05 元 /万次请求。
但是在恶意攻击时,用户会产生天价的可能会产生费用。
比如一个随便主机,可以每秒钟发起 220 次 https 请求,每分钟发起 13000 次请求。每小时 80 万次。
这样一天下来会有约 100 元的 https 请求费用。一个月会有 3000 的请求费用。
下面的信息是被攻击后的流量和请求数:
总流量
65.16 GB
平均流量命中率
56.3 %
请求数
2602.35 万
如果你在腾讯云里预存的费用较多,恭喜你要当冤大头了。 估计预存费用用完后才发现。
如果你发现了被攻击,然后按照腾讯官方的建议,需要设置 CDN 业务的 QPS 、IP 黑名单、区域限制。这样请求的状态码为 514 。不计费。
cloud.tencent.com/document/product/228/11201#m2-5
Q:IP 限频产生的 HTTPS 请求数是否计费?
A:IP 限频、IP 黑白名单、区域访问控制产生的 HTTPS 拒绝请求均不纳入 HTTPS 计费数据,状态码为 514 。
Q:IP 黑白名单产生的 HTTPS 请求数是否计费?
A:IP 限频、IP 黑白名单、区域访问控制产生的 HTTPS 拒绝请求均不纳入 HTTPS 计费数据,状态码为 514 。
上面的措施中,IP 黑名单、区域访问控制,都是被攻击后的针对攻击者 IP 和区域的事后措施。唯有 QPS 可以事先设定,预防攻击导致的费用。
然而,不幸的是,腾讯 CDN 业务的 https 计费可能是推出太仓促,上述规则并不一定生效。设置 QPS 后,请求的状态码为 403 ,仍然会计费。 打电话找客服,客服说先扣费。 如果确认是设置了 QPS ,下个月会返还。
xxxxx 2023-01-14 11:51:06
你们的方案是 现在你们的业务系统有问题。
每小时会扣 5 元,每天扣 120 ,每月 3600 先扣费。 然后在下个月再返回给我?
为什么你们的业务逻辑问题,需要用户承担这部分费用?
腾讯云工程师 2023-01-14 11:53:26
您好,配置 ip 黑名单后依然先返回 403 状态,未返回 514 不计费问题这边会尽快进行修复解决;
对于先扣费,再退您费用的方案这边再沟通核实下,请稍等。
没法子,只能先停了腾讯的 CDN 业务。客户也建议我停掉,要不就先把存几千块,让计费系统先扣了再算账。
HTTPS 计费都这个鸟样,阿里云那些连拒绝请求都计费的,腾讯云能有个免费的 514 拒绝状态码都算不错的了(虽然还没实现)
我的建议是改用别家不收请求费的 CDN ,比如百度智能云,华为云
我一直觉得 CDN 的收费方式比较奇怪,没有上限,你也没法控制。先试试优化下网站,不用 CDN 看看。
对攻击者,已经报案了。 得到了报案回执。
也投诉到了攻击者的运营商。
云服务,真是一个大坑。。。
我的网站,流量不大。 用户试用的时候希望快速的下载 软件和资源。 一个月 1-2TB 流量。 下载速度希望在 10MB/s 。
有什么推荐吗? 一般的云主机,按照带宽计费。太贵了。 有没有流量包月,带宽不错的 主机或者 云存储?
使用腾讯 cdn 的费用大约 0.1 元 /GB 。
被攻击本来就两个处理方案啊, 要么 IDC 把客户干掉, 要么客户出钱硬撑
对 IDC 来说, 两种客户是最优质的, 一种是不差钱的, 一种是吃灰
所以其实这不是 bug, 这是 feature
一般应用其实真没必要上 CDN , 也不是电信联通之间比绕地球一圈还慢的时代了
拉入 ip 黑名单是返回 403 ,依然计费的,并不是 op 说的不计费,所以最好的办法是迁移走
dfyun 是一个不计请求数费用的 cdn 。
且流量单价比腾讯云便宜几倍。
www.dfyun.com.cn/
www.hesudu.com/t/900890
我上次咨询客服的答复是返回 403 计费是正常行为,无法退费
最终结果可能是百度和华为都像腾讯阿里学习,我记得坛里有个大佬搞了一个类似聚合 CDN 的,很便宜,但是需要大佬审核项目内容,楼主可以搜搜
国内还好,尤其国外 ip ,直接拿 10G 口消耗流量
可能云厂商觉得 CDN 这种就不是给个人和小公司的,特别是 1 月 5 号改了之后,我就赶紧换到百度云了
以前我的 1ip 博客 就算不报漏洞 那点 cdn 都不够用呢
大公司也受不了吧?随便注册 100 台 10$包年的国外便宜小机攻击对方 cdn ,那一个月就能让对方损失 30w 还阻止不了?
这个操作伤不起。
请求数计费真的蛮伤,我都考虑海外存储了,毕竟 https 请求不计费。 现在用的 ucloud CDN 不计请求费用。只有 get 请求类的计费,0.01/万次。 但 UCLOUD 随时改游戏玩法是真的,以前 CDN 资源包不限时呢,现在也 12 个月了。
DDOS 可以投诉 IDC 或者 ISP 的, 老外有些机房发现客户在扫端口、发垃圾邮件或者 DOS 都会直接格掉的。 一般都是肉鸡或者各种软件甚至运营商一些节点的 0day , 但总的来说攻击也是有成本的
而且别说现在大公司用流量清洗的硬防都是标配了, 甚至二十年前做 SF 和 SF 发布的, 都是用浙江、广东那边的高防机器的, 赚钱的几家一个月在这方面的支出也要六七位数
这种确实太坑了,一不小心就容易被刷死
差点想换到阿里了,看这样还是算了吧,只能找找其他家了
我们请求量大的按照请求次数根本伤不起。必须用 https ,我估算了一下,换算成按次计费的话,我们正常月份直接飘到 5 倍的费用,特殊就可能 10 倍多了。玩不起了
每月可能产生数千元 https ,大胆点,每月->每小时
被腾讯和攻击者搞的没有办法。
我想着让 腾讯 cdn 能返回 514 。
首先,把 refer 的检查去掉。
然后,用户请求的是一个被删除的文件。我把这个文件加回来。
然后重新开启 cdn 。
然后呢,攻击者在请求到文件后,就没有再发送请求了。
查看请求者的 UA ,是一个 windows 主机。
说明了啥?
估计是用户就是开启了一个迅雷下载之类的 P2P 下载工具。 然后 下载的资源被 cdn 限制。返回了 403 。 但是下载工具不屈不饶的发送请求(频率达到 200 次每秒)。 等我在 cdn 侧模拟了用户的这个资源,允许下载后,对方的下载软件检查到下载成功,就停止下载了。
于是业务就恢复了正常。
于是整个事件的剧情就成了: 流氓迅雷(揣测对方是迅雷下载) 和 狗日的腾讯 干上了。 让我的银子哗哗的往下掉。。。
所以 用腾讯的 CDN 的小心一下。你用户的一个 多线程 下载工具的反复尝试,就可能导致你收到一个天价的 https 请求账单。 如果从攻击的角度,https 请求的攻击,显然比流量攻击更经济。
我是用蜜罐、脚本分析请求,然后自动调用阿里云接口把恶意 ip 加黑名单
百度智能云 cdn 不收请求费吗?我记得是要收的。百度智能云 cdn 默认只提供 http 连接,如果用户需要 https 连接,必须另外购买 https 请求(流量?)包,也是十几块钱十万(?)次 https 连接,超过的话就不知道怎么算了。
#22
百度有个服务叫百度云加速。。。跟云计算是独立的,比云计算早 10 年就有了
后来合并到云计算了,独立入口独立购买,虽然购买也会转向新的百度云计算,不收请求数,付费版是年付包一定流量
#6
是你公司的么?我看他测试的 demo ,所有域名都解析到了福建宁德电信,不管用户在全国的哪里,这。。。也叫 cdn ?
我刚才去看了下,四张图片,两张被分配到宁德,其他有浙江福州和福建福州。
另外我想说一下一下,cdn 是内容分发的意思,并没有规定一定要就近地理位置取节点。复制一下 dfyun 首页的宣传文案
传统 cdn 以速度为最高优先级,会优先选择速度最快的节点。这样会导致流量高度集中在热门地区(如北上广),而非热门地区(如一些二三线城市)的带宽一直闲置。我们改善了调度算法,会将流量调度到“不是最快的但是可以正常访问”的节点,充分利用闲置资源,降低成本,并且能做到自动容灾切换,保证服务稳定可用。
正当Windows 7 开始热卖的时候,正当广大北美用户抱怨Windows 7的销售价格,在东方要比西方便宜很多的时候。我们著名的Linus Torvalds来到了日本东京的一…
Kotlin 目前有个很明显的优点,就是实现了协程(用户态线程),可以减少资源的开销 以前到处用 kotlin ,现在能用 ts 就用 ts ,kotlin 几乎没有什么缺点…
下面这个短片可能Too Old了,不过我今天才看到,很不错,转到这里,让更多的人都能看到。 这是个信息爆炸飞速发展的年代,逆水行舟,不进则退。在这一组组的数据中让我们这班新生代…