V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
yangtzi
V2EX  ›  云计算

腾讯 CDN 爆计费漏洞,每月可能产生数千元 https 请求费用

  •  
  •   yangtzi · 2023-01-14 12:46:17 +08:00 · 5269 次点击
    这是一个创建于 439 天前的主题,其中的信息可能已经有所发展或是发生改变。

    腾讯 CDN 在 2023 年 1 月 5 日开始对 cdn 的 https 请求计费。价格为每万次请求 0.05 元 /万次请求。

    但是在恶意攻击时,用户会产生天价的可能会产生费用。

    比如一个随便主机,可以每秒钟发起 220 次 https 请求,每分钟发起 13000 次请求。每小时 80 万次。 这样一天下来会有约 100 元的 https 请求费用。一个月会有 3000 的请求费用。

    下面的信息是被攻击后的流量和请求数:

    总流量 65.16 GB 平均流量命中率 56.3 % 请求数 2602.35 万

    如果你在腾讯云里预存的费用较多,恭喜你要当冤大头了。 估计预存费用用完后才发现。

    如果你发现了被攻击,然后按照腾讯官方的建议,需要设置 CDN 业务的 QPS 、IP 黑名单、区域限制。这样请求的状态码为 514 。不计费。

    https://cloud.tencent.com/document/product/228/11201#m2-5

    Q:IP 限频产生的 HTTPS 请求数是否计费? A:IP 限频、IP 黑白名单、区域访问控制产生的 HTTPS 拒绝请求均不纳入 HTTPS 计费数据,状态码为 514 。

    Q:IP 黑白名单产生的 HTTPS 请求数是否计费? A:IP 限频、IP 黑白名单、区域访问控制产生的 HTTPS 拒绝请求均不纳入 HTTPS 计费数据,状态码为 514 。

    上面的措施中,IP 黑名单、区域访问控制,都是被攻击后的针对攻击者 IP 和区域的事后措施。唯有 QPS 可以事先设定,预防攻击导致的费用。

    然而,不幸的是,腾讯 CDN 业务的 https 计费可能是推出太仓促,上述规则并不一定生效。设置 QPS 后,请求的状态码为 403 ,仍然会计费。 打电话找客服,客服说先扣费。 如果确认是设置了 QPS ,下个月会返还。

    xxxxx 2023-01-14 11:51:06 你们的方案是 现在你们的业务系统有问题。 每小时会扣 5 元,每天扣 120 ,每月 3600 先扣费。 然后在下个月再返回给我? 为什么你们的业务逻辑问题,需要用户承担这部分费用?

    腾讯云工程师 2023-01-14 11:53:26 您好,配置 ip 黑名单后依然先返回 403 状态,未返回 514 不计费问题这边会尽快进行修复解决;

    对于先扣费,再退您费用的方案这边再沟通核实下,请稍等。

    没法子,只能先停了腾讯的 CDN 业务。客户也建议我停掉,要不就先把存几千块,让计费系统先扣了再算账。

    25 条回复    2023-08-15 15:21:58 +08:00
    eason1874
        1
    eason1874  
       2023-01-14 12:52:10 +08:00
    HTTPS 计费都这个鸟样,阿里云那些连拒绝请求都计费的,腾讯云能有个免费的 514 拒绝状态码都算不错的了(虽然还没实现)

    我的建议是改用别家不收请求费的 CDN ,比如百度智能云,华为云
    gowl
        2
    gowl  
       2023-01-14 12:54:53 +08:00
    我一直觉得 CDN 的收费方式比较奇怪,没有上限,你也没法控制。先试试优化下网站,不用 CDN 看看。
    yangtzi
        3
    yangtzi  
    OP
       2023-01-14 13:07:48 +08:00
    对攻击者,已经报案了。 得到了报案回执。
    也投诉到了攻击者的运营商。

    云服务,真是一个大坑。。。

    我的网站,流量不大。 用户试用的时候希望快速的下载 软件和资源。 一个月 1-2TB 流量。 下载速度希望在 10MB/s 。

    有什么推荐吗? 一般的云主机,按照带宽计费。太贵了。 有没有流量包月,带宽不错的 主机或者 云存储?

    使用腾讯 cdn 的费用大约 0.1 元 /GB 。
    westoy
        4
    westoy  
       2023-01-14 13:35:45 +08:00
    被攻击本来就两个处理方案啊, 要么 IDC 把客户干掉, 要么客户出钱硬撑

    对 IDC 来说, 两种客户是最优质的, 一种是不差钱的, 一种是吃灰

    所以其实这不是 bug, 这是 feature

    一般应用其实真没必要上 CDN , 也不是电信联通之间比绕地球一圈还慢的时代了
    herozzm
        5
    herozzm  
       2023-01-14 13:38:26 +08:00
    拉入 ip 黑名单是返回 403 ,依然计费的,并不是 op 说的不计费,所以最好的办法是迁移走
    star7th
        6
    star7th  
       2023-01-14 13:39:22 +08:00   ❤️ 1
    dfyun 是一个不计请求数费用的 cdn 。

    且流量单价比腾讯云便宜几倍。

    https://www.dfyun.com.cn/
    herozzm
        7
    herozzm  
       2023-01-14 13:40:18 +08:00
    https://www.v2ex.com/t/900890
    我上次咨询客服的答复是返回 403 计费是正常行为,无法退费
    ttyhtg
        8
    ttyhtg  
       2023-01-14 14:01:35 +08:00
    @eason1874 最终结果可能是百度和华为都像腾讯阿里学习,我记得坛里有个大佬搞了一个类似聚合 CDN 的,很便宜,但是需要大佬审核项目内容,楼主可以搜搜
    guowq
        9
    guowq  
       2023-01-14 15:00:25 +08:00 via Android
    国内还好,尤其国外 ip ,直接拿 10G 口消耗流量
    lhx2008
        10
    lhx2008  
       2023-01-14 15:12:21 +08:00
    可能云厂商觉得 CDN 这种就不是给个人和小公司的,特别是 1 月 5 号改了之后,我就赶紧换到百度云了
    airplayxcom
        11
    airplayxcom  
       2023-01-14 15:20:29 +08:00
    以前我的 1ip 博客 就算不报漏洞 那点 cdn 都不够用呢
    makelove
        12
    makelove  
       2023-01-14 15:24:15 +08:00
    @lhx2008 大公司也受不了吧?随便注册 100 台 10$包年的国外便宜小机攻击对方 cdn ,那一个月就能让对方损失 30w 还阻止不了?
    RulesOS
        13
    RulesOS  
       2023-01-14 15:33:56 +08:00
    这个操作伤不起。
    woshinide300yuan
        14
    woshinide300yuan  
       2023-01-14 15:46:15 +08:00
    请求数计费真的蛮伤,我都考虑海外存储了,毕竟 https 请求不计费。 现在用的 ucloud CDN 不计请求费用。只有 get 请求类的计费,0.01/万次。 但 UCLOUD 随时改游戏玩法是真的,以前 CDN 资源包不限时呢,现在也 12 个月了。
    westoy
        15
    westoy  
       2023-01-14 15:46:51 +08:00
    @makelove

    DDOS 可以投诉 IDC 或者 ISP 的, 老外有些机房发现客户在扫端口、发垃圾邮件或者 DOS 都会直接格掉的。 一般都是肉鸡或者各种软件甚至运营商一些节点的 0day , 但总的来说攻击也是有成本的

    而且别说现在大公司用流量清洗的硬防都是标配了, 甚至二十年前做 SF 和 SF 发布的, 都是用浙江、广东那边的高防机器的, 赚钱的几家一个月在这方面的支出也要六七位数
    kincaid
        16
    kincaid  
       2023-01-14 16:05:06 +08:00
    这种确实太坑了,一不小心就容易被刷死
    kincaid
        17
    kincaid  
       2023-01-14 16:05:44 +08:00
    @eason1874 差点想换到阿里了,看这样还是算了吧,只能找找其他家了
    zeze0556
        18
    zeze0556  
       2023-01-14 16:21:56 +08:00
    我们请求量大的按照请求次数根本伤不起。必须用 https ,我估算了一下,换算成按次计费的话,我们正常月份直接飘到 5 倍的费用,特殊就可能 10 倍多了。玩不起了
    iqoo
        19
    iqoo  
       2023-01-14 22:30:59 +08:00
    每月可能产生数千元 https ,大胆点,每月->每小时
    yangtzi
        20
    yangtzi  
    OP
       2023-01-14 22:31:08 +08:00   ❤️ 1
    被腾讯和攻击者搞的没有办法。

    我想着让 腾讯 cdn 能返回 514 。

    首先,把 refer 的检查去掉。
    然后,用户请求的是一个被删除的文件。我把这个文件加回来。

    然后重新开启 cdn 。

    然后呢,攻击者在请求到文件后,就没有再发送请求了。

    查看请求者的 UA ,是一个 windows 主机。

    说明了啥?

    估计是用户就是开启了一个迅雷下载之类的 P2P 下载工具。 然后 下载的资源被 cdn 限制。返回了 403 。 但是下载工具不屈不饶的发送请求(频率达到 200 次每秒)。 等我在 cdn 侧模拟了用户的这个资源,允许下载后,对方的下载软件检查到下载成功,就停止下载了。

    于是业务就恢复了正常。

    于是整个事件的剧情就成了: 流氓迅雷(揣测对方是迅雷下载) 和 狗日的腾讯 干上了。 让我的银子哗哗的往下掉。。。


    所以 用腾讯的 CDN 的小心一下。你用户的一个 多线程 下载工具的反复尝试,就可能导致你收到一个天价的 https 请求账单。 如果从攻击的角度,https 请求的攻击,显然比流量攻击更经济。
    neutrinos
        21
    neutrinos  
       2023-01-14 23:17:35 +08:00 via iPhone
    我是用蜜罐、脚本分析请求,然后自动调用阿里云接口把恶意 ip 加黑名单
    hanguofu
        22
    hanguofu  
       2023-01-15 00:27:15 +08:00 via Android
    百度智能云 cdn 不收请求费吗?我记得是要收的。百度智能云 cdn 默认只提供 http 连接,如果用户需要 https 连接,必须另外购买 https 请求(流量?)包,也是十几块钱十万(?)次 https 连接,超过的话就不知道怎么算了。
    realpg
        23
    realpg  
       2023-01-15 11:10:35 +08:00
    @hanguofu #22
    百度有个服务叫百度云加速。。。跟云计算是独立的,比云计算早 10 年就有了
    后来合并到云计算了,独立入口独立购买,虽然购买也会转向新的百度云计算,不收请求数,付费版是年付包一定流量

    @star7th #6
    是你公司的么?我看他测试的 demo ,所有域名都解析到了福建宁德电信,不管用户在全国的哪里,这。。。也叫 cdn ?
    star7th
        24
    star7th  
       2023-01-15 19:22:56 +08:00
    @realpg 我刚才去看了下,四张图片,两张被分配到宁德,其他有浙江福州和福建福州。
    另外我想说一下一下,cdn 是内容分发的意思,并没有规定一定要就近地理位置取节点。复制一下 dfyun 首页的宣传文案

    传统 cdn 以速度为最高优先级,会优先选择速度最快的节点。这样会导致流量高度集中在热门地区(如北上广),而非热门地区(如一些二三线城市)的带宽一直闲置。我们改善了调度算法,会将流量调度到“不是最快的但是可以正常访问”的节点,充分利用闲置资源,降低成本,并且能做到自动容灾切换,保证服务稳定可用。
    idc906
        25
    idc906  
       226 天前 via iPhone
    刷 CDN 的都是 CC 攻击,这种模拟真实 ip 访问的,腾讯云会默认这是真实用户,所以会造成扣费的,一般这种攻击的,都是不想花成本比较高的 DDOS 攻击来恶心你,如果还有遇到攻击的问题,可以联系我 好用不贵支持测试 微 idc906
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1082 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:46 · PVG 06:46 · LAX 15:46 · JFK 18:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.