内置CDN加速具备流量检测功能。启用流量检测后,内置CDN加速能够自动针对域名的访问行为开展实时分析,识别存在异常行为的 IP 地址或 IP 地址段,并根据实际需求对可疑 IP 地址或 IP 地址段执行处理动作(包括仅记录其访问行为、自动限速、自动封禁)。
说明
要使用流量检测功能,请提交工单。
什么是流量检测
内置CDN加速控制台提供了流量检测页面。在该页面,您能够为加速域名配置流量检测策略,并指定当带宽超出指定阈值时内置CDN加速应执行的处理动作。此页面可用于监测流量盗刷等问题。
在监控时间段内,如果加速域名的带宽超过阈值,内置CDN加速会识别存在盗刷行为的 IP 地址和 IP 地址段,并对监控时间段收到的来自这些 IP 地址和 IP 地址段的新请求执行指定的处理动作。
说明
当前内置CDN加速正在响应的请求不受影响。在文件下载或者其他引发长连接的场景中,当盗刷发生时,可能当前会存在较多内置CDN加速正在响应的用户请求。
处理延迟说明
- 自盗刷行为发生起,至内置CDN加速针对盗刷的 IP 地址及 IP 地址段执行您指定的处理操作,大约需要 15 分钟。这是因为内置CDN加速需基于日志的采集与分析来识别盗刷 IP 地址,且向边缘节点传达应采取的操作需要一定时间。
- 若盗刷流量的 IP 地址持续变动,对于每个新出现的盗刷 IP 地址,内置CDN加速约需 15 分钟方可采取相应行动。
消息接收配置
当识别到来自可疑 IP 或 IP 地址段的请求时,内置CDN加速通过火山引擎站内信、邮件和短信向您设置的消息接收人发送通知。
您可以按需在 基本接收配置、语音接收配置、机器人接收配置 页面,针对 安全消息 下的 产品告警通知 选项设置消息接收人。在机器人配置中,您可以输入机器人的 webhook 添加来自飞书、钉钉、企业微信、Slack 这些平台的机器人。
使用限制
每个域名当下被限速和被封禁的 IP 地址和 IP 段数量的总和最大是 500 个。需要注意的是,该上限与 "IP 黑白名单" 中可配置的 IP 条目上限无关。
操作步骤
流量检测 页面有以下两个标签页:
策略配置
在 策略配置 标签页,您点击 添加策略 添加一条策略。
配置说明
| 配置项 | 说明 |
|---|---|
| 加速域名 | 表示一个需要带宽监控的加速域名。您可以从列表中选择一个加速域名。每个加速域名只能配置一条策略。 |
| 预警带宽 | 表示带宽的预警阈值,范围是 500 - 10,000,000,单位是 Mbps,默认值是 2000。 |
| 检测时段 | 表示每天内置CDN加速监控带宽的时间段。该配置的默认时间段是 00:00 - 23:59,表示全天候监控指定加速域名的带宽。 |
拦截方式 | 表示当指定加速域名的带宽达到该阈值时,内置CDN加速执行的处理动作。这些处理针对的是存在盗刷行为的那些 IP 地址和 IP 地址段。您可以在 检测记录 标签页获取这些处理的记录。该配置有以下选项:
说明 可能存在检测到的 IP 不是盗刷 IP 或者某些盗刷 IP 未被检测到的情况。首次配置流量检测策略时,建议您先使用 观察模式,然后在 检测记录 标签页查看内置CDN加速记录的盗刷 IP,判断检测结果是否符合您的预期。 |
限速大小 | 表示内置CDN加速响应用户请求时的最大数据传输速度,单位是 Kbps,取值范围是 10 - 10,000,000,默认值是 10。
|
持续时长 | 表示内置CDN加速阻止请求或者对请求进行限速的时长,单位是天,取值范围是 1 -30,默认值是 7。
|
检测记录
检测记录 标签页记录了过去 60 天内内置CDN加速对可疑 IP 地址和 IP 地址段的处理记录。每个处理记录包含一个 IP 地址和 IP 地址段。您可以指定过滤条件对处理记录进行过滤。
