教训：今天第一次遇到有人恶意刷流量，腾讯云让用户自己买单

@nazznazz 明天加你

素质真心低，损人还不利己。

让服务商过滤给你“恶意”流量，你这要求也太苛刻了，问题在于你让他如何判断正常流量与恶意流量。而且你原本可以进行安全配置来规避的（比如 IP 黑白名单、IP 访问限频等）。安全限制没有设置，你消耗了你买单，没毛病。

你如果加了一些主机群就知道了，蛋疼的人多的是，手上有流量，闲着无聊就找个站打过去了。

我的七牛有 100 多余额，被刷成了负四百多，有啥办法，只好放弃帐号了。
七牛之前是月结后才停用帐号了。现在不知道了

纯 CDN 本来就不提供防护 这种免单全看对方心情 不同意很正常 毕竟服务商得就这部分流量掏钱出去的

按带宽峰值算可能没这种问题一般都走公式计算来的会算平均值的吧

@DZBM IP 黑名单没用，动态 IP。有日志，恶意流量很容易判断，怼着一个大图片不停请求。

@580a388da131 @zyxk 只能自己加强安全了

@dnsaq 我是按流量，平时流量少

@mclxly 恶意请求也是你使用了资源啊，打个比方说 ： 你网站的注册验证码被人刷了，你要去找短信公司要说法吗？安全防护应该是你要做的，而不是运营方做的。

我算了一下 CDN 0.21 元 /GB。30 多 G 也就 6，7 块，这也算恶意刷流量？

确实应该是你自己处理啊，流量还是给你用了，这种恶意攻击，要么就买大流量，要么就买安全加固

最好是提供多少限制。比如我设置 10g 流量，用完就给我停了服务。

@dorothyREN 从人性化角度来说，有些安全配置应该默认开启的。

@wonpain 日志摆在那，还不是恶意，咱三观不同。你的网站快上 CDN，让你尝个鲜..............开个玩笑

@lengyihan 商人重利轻人性

捣鼓了一上午，加了"过滤参数配置"、"防盗链配置"和“ IP 访问限频配置”。

谁知道"IP 黑白名单配置"怎么使用？黑名单肯定没用，对方动态 IP。白名单更扯，用户 IP 谁知道。

@mclxly 换句话说 你自己做压测，跟别人恶意访问，这两个有什么区别。你让运营商怎么来区分。

@dorothyREN 我认了。不扯这个了。咱扯怎么防盗刷吧

换个角度想，这么低成本就让你注意到之前不在意的安全问题，避免之后有更大的损失，这是好事。

@mclxly 讲道理，只要人家真心想刷，你是防不住的。除非你关站

典型 cc，加个 Waf，请求过快就屏蔽，多线程请求过快就屏蔽，完美解决。

控制面板里面的 qps 还是什么有一个系统推荐的值（貌似是根据 30 天内平均值）而定，相当人性化了，在不需要人工参考任何数值的情况下，直接点开启按钮就可以默认设置为系统推荐值，也可以自己设置具体点的值。
要是给每个用户默认上一个假设流量比较低的限制，只怕会有更多用户莫名其妙无法访问以为平台出故障了，真要做到极致是不是得上个智能感应异常流量的功能？
IP 黑 /白名单，一般应该是黑名单用得多吧，在流量出现异常后查看日志，将恶意 IP 或者某段全部加入黑名单，虽然看起来效率很低，但很管用的。
始终认为不要无脑上 CDN，动态网站加一层不是“云减速”吗，而且人家一打就打到 CDN 上面，既消耗流量又加重源站负担。
关于服务商道德问题，一般国内大厂（阿里、腾讯等等）多少都提供了比较完善的功能配置，lz 很幸运，要是某些小厂的话，根本不给你提供上面说的那些安全配置项，欠费多到你只能跑路（弃用帐号）。