腾讯 CDN 爆计费漏洞,每月可能产生数千元 https 请求费用

2023-01-14 12:46:17 +08:00
 yangtzi

腾讯 CDN 在 2023 年 1 月 5 日开始对 cdn 的 https 请求计费。价格为每万次请求 0.05 元 /万次请求。

但是在恶意攻击时,用户会产生天价的可能会产生费用。

比如一个随便主机,可以每秒钟发起 220 次 https 请求,每分钟发起 13000 次请求。每小时 80 万次。 这样一天下来会有约 100 元的 https 请求费用。一个月会有 3000 的请求费用。

下面的信息是被攻击后的流量和请求数:

总流量 65.16 GB 平均流量命中率 56.3 % 请求数 2602.35 万

如果你在腾讯云里预存的费用较多,恭喜你要当冤大头了。 估计预存费用用完后才发现。

如果你发现了被攻击,然后按照腾讯官方的建议,需要设置 CDN 业务的 QPS 、IP 黑名单、区域限制。这样请求的状态码为 514 。不计费。

https://cloud.tencent.com/document/product/228/11201#m2-5

Q:IP 限频产生的 HTTPS 请求数是否计费? A:IP 限频、IP 黑白名单、区域访问控制产生的 HTTPS 拒绝请求均不纳入 HTTPS 计费数据,状态码为 514 。

Q:IP 黑白名单产生的 HTTPS 请求数是否计费? A:IP 限频、IP 黑白名单、区域访问控制产生的 HTTPS 拒绝请求均不纳入 HTTPS 计费数据,状态码为 514 。

上面的措施中,IP 黑名单、区域访问控制,都是被攻击后的针对攻击者 IP 和区域的事后措施。唯有 QPS 可以事先设定,预防攻击导致的费用。

然而,不幸的是,腾讯 CDN 业务的 https 计费可能是推出太仓促,上述规则并不一定生效。设置 QPS 后,请求的状态码为 403 ,仍然会计费。 打电话找客服,客服说先扣费。 如果确认是设置了 QPS ,下个月会返还。

xxxxx 2023-01-14 11:51:06 你们的方案是 现在你们的业务系统有问题。 每小时会扣 5 元,每天扣 120 ,每月 3600 先扣费。 然后在下个月再返回给我? 为什么你们的业务逻辑问题,需要用户承担这部分费用?

腾讯云工程师 2023-01-14 11:53:26 您好,配置 ip 黑名单后依然先返回 403 状态,未返回 514 不计费问题这边会尽快进行修复解决;

对于先扣费,再退您费用的方案这边再沟通核实下,请稍等。

没法子,只能先停了腾讯的 CDN 业务。客户也建议我停掉,要不就先把存几千块,让计费系统先扣了再算账。

5316 次点击
所在节点    云计算
25 条回复
eason1874
2023-01-14 12:52:10 +08:00
HTTPS 计费都这个鸟样,阿里云那些连拒绝请求都计费的,腾讯云能有个免费的 514 拒绝状态码都算不错的了(虽然还没实现)

我的建议是改用别家不收请求费的 CDN ,比如百度智能云,华为云
gowl
2023-01-14 12:54:53 +08:00
我一直觉得 CDN 的收费方式比较奇怪,没有上限,你也没法控制。先试试优化下网站,不用 CDN 看看。
yangtzi
2023-01-14 13:07:48 +08:00
对攻击者,已经报案了。 得到了报案回执。
也投诉到了攻击者的运营商。

云服务,真是一个大坑。。。

我的网站,流量不大。 用户试用的时候希望快速的下载 软件和资源。 一个月 1-2TB 流量。 下载速度希望在 10MB/s 。

有什么推荐吗? 一般的云主机,按照带宽计费。太贵了。 有没有流量包月,带宽不错的 主机或者 云存储?

使用腾讯 cdn 的费用大约 0.1 元 /GB 。
westoy
2023-01-14 13:35:45 +08:00
被攻击本来就两个处理方案啊, 要么 IDC 把客户干掉, 要么客户出钱硬撑

对 IDC 来说, 两种客户是最优质的, 一种是不差钱的, 一种是吃灰

所以其实这不是 bug, 这是 feature

一般应用其实真没必要上 CDN , 也不是电信联通之间比绕地球一圈还慢的时代了
herozzm
2023-01-14 13:38:26 +08:00
拉入 ip 黑名单是返回 403 ,依然计费的,并不是 op 说的不计费,所以最好的办法是迁移走
star7th
2023-01-14 13:39:22 +08:00
dfyun 是一个不计请求数费用的 cdn 。

且流量单价比腾讯云便宜几倍。

https://www.dfyun.com.cn/
herozzm
2023-01-14 13:40:18 +08:00
https://www.v2ex.com/t/900890
我上次咨询客服的答复是返回 403 计费是正常行为,无法退费
ttyhtg
2023-01-14 14:01:35 +08:00
@eason1874 最终结果可能是百度和华为都像腾讯阿里学习,我记得坛里有个大佬搞了一个类似聚合 CDN 的,很便宜,但是需要大佬审核项目内容,楼主可以搜搜
guowq
2023-01-14 15:00:25 +08:00
国内还好,尤其国外 ip ,直接拿 10G 口消耗流量
lhx2008
2023-01-14 15:12:21 +08:00
可能云厂商觉得 CDN 这种就不是给个人和小公司的,特别是 1 月 5 号改了之后,我就赶紧换到百度云了
airplayxcom
2023-01-14 15:20:29 +08:00
以前我的 1ip 博客 就算不报漏洞 那点 cdn 都不够用呢
makelove
2023-01-14 15:24:15 +08:00
@lhx2008 大公司也受不了吧?随便注册 100 台 10$包年的国外便宜小机攻击对方 cdn ,那一个月就能让对方损失 30w 还阻止不了?
RulesOS
2023-01-14 15:33:56 +08:00
这个操作伤不起。
woshinide300yuan
2023-01-14 15:46:15 +08:00
请求数计费真的蛮伤,我都考虑海外存储了,毕竟 https 请求不计费。 现在用的 ucloud CDN 不计请求费用。只有 get 请求类的计费,0.01/万次。 但 UCLOUD 随时改游戏玩法是真的,以前 CDN 资源包不限时呢,现在也 12 个月了。
westoy
2023-01-14 15:46:51 +08:00
@makelove

DDOS 可以投诉 IDC 或者 ISP 的, 老外有些机房发现客户在扫端口、发垃圾邮件或者 DOS 都会直接格掉的。 一般都是肉鸡或者各种软件甚至运营商一些节点的 0day , 但总的来说攻击也是有成本的

而且别说现在大公司用流量清洗的硬防都是标配了, 甚至二十年前做 SF 和 SF 发布的, 都是用浙江、广东那边的高防机器的, 赚钱的几家一个月在这方面的支出也要六七位数
kincaid
2023-01-14 16:05:06 +08:00
这种确实太坑了,一不小心就容易被刷死
kincaid
2023-01-14 16:05:44 +08:00
@eason1874 差点想换到阿里了,看这样还是算了吧,只能找找其他家了
zeze0556
2023-01-14 16:21:56 +08:00
我们请求量大的按照请求次数根本伤不起。必须用 https ,我估算了一下,换算成按次计费的话,我们正常月份直接飘到 5 倍的费用,特殊就可能 10 倍多了。玩不起了
iqoo
2023-01-14 22:30:59 +08:00
每月可能产生数千元 https ,大胆点,每月->每小时
yangtzi
2023-01-14 22:31:08 +08:00
被腾讯和攻击者搞的没有办法。

我想着让 腾讯 cdn 能返回 514 。

首先,把 refer 的检查去掉。
然后,用户请求的是一个被删除的文件。我把这个文件加回来。

然后重新开启 cdn 。

然后呢,攻击者在请求到文件后,就没有再发送请求了。

查看请求者的 UA ,是一个 windows 主机。

说明了啥?

估计是用户就是开启了一个迅雷下载之类的 P2P 下载工具。 然后 下载的资源被 cdn 限制。返回了 403 。 但是下载工具不屈不饶的发送请求(频率达到 200 次每秒)。 等我在 cdn 侧模拟了用户的这个资源,允许下载后,对方的下载软件检查到下载成功,就停止下载了。

于是业务就恢复了正常。

于是整个事件的剧情就成了: 流氓迅雷(揣测对方是迅雷下载) 和 狗日的腾讯 干上了。 让我的银子哗哗的往下掉。。。


所以 用腾讯的 CDN 的小心一下。你用户的一个 多线程 下载工具的反复尝试,就可能导致你收到一个天价的 https 请求账单。 如果从攻击的角度,https 请求的攻击,显然比流量攻击更经济。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/908877

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX