防范流量盗刷

更新时间：2026-01-09

概述

流量盗刷是指恶意用户或攻击者通过技术手段非法消耗CDN流量资源的行为，导致产生高于日常消费金额的高额账单。因恶意攻击或流量盗刷产生的高额账单无法免除/退款，为尽量避免此类风险，本文为您介绍这一类情况的应对方法。

进行止损

当您已经发现域名因被恶意攻击或流量被恶意盗刷，并且产生了高额账单，可以先配置用量封顶和单请求限速功能，以此来减少进一步的损失，设置完成后再进一步排查问题做出针对性的安全设置。

用量封顶

通过用量封顶配置功能，您可以为域名指定一个维度的阈值，如：带宽、流量、请求数、QPS 。在该域名对应的维度的实际用量达到阈值后（有一定时间延迟），系统会自动执行您配置的处理措施（支持两种处理措施：访问 404 和停止域名），以阻止进一步产生业务用量，避免在流量攻击、意外突发等情况下产生过高的费用。具体操作请参见用量封顶配置。

单链接限速

通过配置单请求限速，对用户访问到CDN节点的所有请求进行下行速率限速，以此来调整加速域名的全网带宽峰值。具体操作请参见设置单请求响应限速。

排查问题

1. 查看盗刷分析数据，检查是否存在跨省盗刷情况。

百度智能云CDN针对跨省黑产拉流推出了跨省盗刷分析增值服务，根据既定的检测机制对晚高峰流量进行抽样分析，识别出异常的流量区域分布和攻击特征。详情参见跨省盗刷分析。但由于跨省盗刷服务是抽样分析，跨省盗刷分析的结果可能有一定误差，且不一定覆盖到问题域名，还需进一步分析与判断。

2. 查询账单情况，初步判断异常流程时间段。

您可以在财务管理中心-账单明细中查看CDN产品消费明细，根据实际需求选择统计维度和统计周期，查看不同维度的报表，审查账单金额异常增加时间段。详细操作参见账单明细。

3. 检查日志文件，识别异常流量。

统计分析

CDN控制台提供基础的TOP数据分析能力，您可以查看用户访问的域名排行、热门URL、热门referer、Top客户端IP、热点地区和运营商等数据情况，判断异常访问情况。详情参见查看分析数据。

注意：TOP数据的分析只作为指向性数据，帮助您更好地了解域名流量情况，该数据可能与计费打点数据值不一致，准确数据还需以实际日志数据分析为准，若TOP数据情况无法满足对盗刷分析的要求，可进一步对实际日志进行分析。

离线日志分析

通过下载离线日志，查看相关时间段的访问日志，分析HTTP请求的详细信息，识别可疑的IP地址、User-Agent等。获得离线日志文件后，您可以使用命令行工具来快速解析日志文件，提取访问量TOP10的IP地址或User-Agent等信息。详情参见离线日志下载及转储。离线日志字段数据相对较少，如果您想查看更多数据，可使用实时日志功能。

实时日志分析

如果您想查询更多日志信息，例如Referer和URI等信息，需要开通BLS日志服务，将采集到的实时日志实时推送至日志服务。开启实时日志，并成功投递日志后，根据日志投递条数产生计费。

参考CDN实时日志推送介绍，将需要分析用户访问数据的CDN加速域名配置实时日志推送至BLS。
在CDN 实时日志推送功能页面找到需要分析日志的服务名称，单击日志分析。
进入日志分析页面，通过过滤需求的日志字段，如referer、request_url等信息，查询由高到低的数据信息。

解决问题

当您获取到了top分析数据或日志后，您可以通过数据特征来分析攻击类型。通常您可以分析Top信息（Top IP、Top User-Agent、Top Referer等）提取特征，然后进行防盗链配置。详情参见设置防盗链。

1. 限制可疑IP访问

通过配置IP黑名单，限制访问源IP。分析top数据和日志后，筛选出一些可疑的攻击IP，将这些可疑的IP地址列入黑名单。

2. 过滤可疑User-Agent

攻击者通过伪造User-Agent字段发送大量请求，试图绕过安全检查。伪造的User-Agent可能是空值、随机字符串或常见浏览器的伪造字符串。您可以配置User-Agent白名单或黑名单，拒绝非正常的User-Agent请求。

3. 添加可疑Referer黑名单

攻击者在请求头中伪造Referer字段，以假冒合法的引用来源，进行恶意请求。配置Referer黑白名单，允许合法的Referer访问，防止未经授权的第三方网站链接到资源，拒绝带有恶意Referer的请求。

4. 升级至安全加速产品GEO

百度智能云GEO是新一代边缘安全平台，支持动静态智能加速、边缘计算的同时，兼顾T级抗D、CC、WAF、BOT等多种安全特性，全面提升加速网络的安全防护能力，保障用户优质访问体验和业务安全。核心体系：

边缘防护网络与 T 级清洗中心协同，构建“边缘拦截 - 中心清洗 - 智能调度” 的全链路防护体系。
融合多层防护能力，构建 “流量接入 - 威胁识别 - 攻击阻断 - 业务保障” 的全生命周期防御体系。

GEO产品即将上线，若您需提前使用，请提交工单联系我们。

通过 CDN 动态加速将数据上传到 BOS

API参考

百度智能云

内容分发网络 CDN