在腾讯云 CDN 上服务被恶意攻击跑了 2T 流量

主要问题是，我在腾讯云 CDN 后台是设置了 QPS 限制为 100 （在发现攻击以后将 QPS 设置为 10 ）。检查了日志，攻击者主要使用 Vutlr 的肉鸡发动攻击，攻击者 IP 数量不超过 10 个，但是在遭受攻击的 1 小时之内攻击者发起了 4000 万次请求。简单的计算都能知道，这绝对远远不止 100 QPS。也就是说，腾讯云后台的 IP 访问限频配置 完全形同虚设。所以，我想确切了解一下，腾讯云 CDN 的 IP 访问限频配置 是否真的有效，是否真的能够抵御恶意刷流量的 CC 攻击。如果的确是腾讯云 CDN 没有抵抗 CC 攻击的能力、或者是技术故障，腾讯云客服给我报出的 690 元费用，我理应获得 50% 到 60% 的费用减免。

顺便说一句，腾讯云后台工单日常只会回复 您好，已经反馈后台，有新进展会工单反馈您，请您耐心等候。 。然而并没有给我有效的反馈，也没有确切告诉我腾讯云 CDN 节点上是否对 CC 攻击进行了拦截。

腾讯云客服甚至连是我接入的哪个域名受到了攻击都无法确定。。。

techeek

2017-09-15 12:35:29 +08:00

刚刚细心看了下官方的文档，结合楼主的问题，得出如下结论，不吹不黑。
1、企鹅家（腾讯云）的 CDN 的 IP 限频是单 IP 单节点 QPS 限制，不是全网的，分布式攻击肯定会被刷流量。
2、100Qps 改成 10Qps 配置生效就需要时间，不是马上就生效的。
3、配置有没有帮助防护攻击，可以拉日志看下 514 数量，就知道有没有效。
个人见解，如有不对，希望各位提出。

Genteure

2017-09-15 12:39:57 +08:00

@talebook #39 产品的考虑是：攻击经常是发生在单个 IP 的，分布式的限制能够让其他不被攻击的节点继续正常服务。

这句话没有太理解。为什么全局限制会导致单个 IP 收到攻击时影响其他节点呢？
一个（请求者的） IP 在已经对 A 节点发起攻击的情况下，B 节点就算拒绝掉同 IP 来的请求也无所谓的吧？完全不需要考虑让 B 节点在这种情况下正常服务该 IP 发来的请求。

talebook

2017-09-15 13:14:06 +08:00

@Genteure QPS 不是按客户端 client_ip 统计的。

全局 QPS 限制是指，黑客攻击 A 节点，触发 QPS 限制后，如果有正常用户访问没被攻击的 B 节点，那么依旧会被限制住。

我们现在提供的是单节点单 IP 维度的 QPS，也就是说 A B 节点是独立统计 QPS 的，黑客攻击 A 节点，触发 QPS 限制后；如果有正常用户访问没被攻击的 B 节点，会能继续访问成功。

Genteure

2017-09-15 13:42:13 +08:00

@talebook #44
所以是假设设置了 10 QPS 的限制
用户 A （ IP A ）一秒访问了 10 次
用户 B （ IP B ）同一秒访问同一个节点就会被限制
这样的？
emmmmmm......

那你们文档上写的可是
“通过对每一个 IP 在每一个节点每一秒钟访问次数进行限制”（ https://www.qcloud.com/document/product/228/6420 ）

oneoo

2017-09-15 13:42:28 +08:00

提供单节点单 IP 唯独的 QPS 控制，是技术难度和实现成本都最低的方式。其实能有得提供也不错了，普通厂商连这个都没

而又拍提供的是单节点内 QPS 控制，在节点内使用共享计数器来进行统计的，实现难度和成本都高一些。当然跨节点，实现全局 QPS 控制我们在努力开发中，相信很快能提供给大家使用。

这点事没必要绕来绕去的，多点真诚~

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/390806