阿里云CDN频繁被刷 切换阿里云ESA边缘安全加速一劳永逸

最近一段时间悦然的一个网站CDN被频繁刷流量，每天从早到晚轻轻的刷，一到晚上9点左右就突然加大力度，因为白天刷的比较轻，我也没怎么注意，晚上又没在工作了，直到我收到阿里云CDN流量包用完的短信提醒才察觉了。

查了一下大概平均每天被刷500G左右的流量，这几天就被刷了几个T，损失虽然不算多，但也有几百块了，如果长期下去还是比较肉痛的。

查询了一下CDN流量来源，基本都来自江苏和山东😅，贡献了99%的流量，真的太谢谢啦！！！😨

查到了大概原因，尝试了一些防护措施，都效果不大，一到晚上9点左右就抗不住，有时网站也打不开，服务器上的其它网站也受到了影响。问了阿里云售后客服，在目前基础上他们也没什么办法，无非就是找到IP并封锁，但封不过来，解决不了问题。如果只看阿里云官方的产品，似乎只有ESA边缘安全加速和WEB应用防火墙才能防了。

了解下来WEB应用防火墙太贵用不起，最终决定换到了ESA边缘安全加速服务，它和原来的CDN其实差不多，就是多了防护功能，可以简单理解为升级版的CDN吧。要注意的是它不是免费的，目前可以免费试用一个月，或者按年按月购买，基础版套餐一年100多，目前优惠下来是50多一年，看起来不贵，还能接受，对普通中小型网站来说基础版应该是够用了。

升级到ESA加速后可以自行配置安全规则，比原来的CDN会稍微复杂一点（这也是之前一直没换的原因之一，慢麻烦），可以配置频次控制，快速开启智能降频和防盗刷功能。ESA边缘安全加速服务的基本使用和以前的CDN差不多，可以自行去折腾。接下来看看效果如何吧。

切换到ESA加速后马上就有一些改善，通过ESA显示的来源，找到了排名最前面的几个，同时售后那边也通知到我，有两个很可疑的来源客户端ASN。

大部分攻击和流量来源都来自这些。查询得知都是某些IDC，一般不太可能是正常的客户访问。

接下来可以使用ESA边缘安全加速的WAF功能，在【IP访问规则】中添加按ASN拦截，把之前查到的可疑ASN加进去即可。

在ESA控制台可以看到，防护还有比较有效的，再加上拦截了可疑来源，现在网站基本上归于平静，回归正常了。

当然了，普通的安全防护可能还是防不住有些大型的攻击，如果大家遇到了这种情况，可以在ESA控制台的快捷操作中，如上图所示，把【我正在遭受攻击】开关打开，此时所有访问都需要通过滑块验证才能继续，攻击可以得到有效的缓解，但业务受影响还是难免的。

如果你遇到了更强烈的攻击，比如DDOS之类的，那就需要购买更高级的套餐才行了，或者购买其它高防IP服务。

注意事项：

如果是wordpress网站，切换到ESA加速之后有可能会遇到一些问题，比如网站短期出现大量502之类的错误，或者是网站功能故障，上传不了图片，不能更新和发布内容等，这可能与ESA回源有关，可能是回源超时了，可以在ESA设置中适当调大回源超时的时间。

好了今天的分享就到这吧，祝大家秋假快乐！