晚上突然收到了腾讯云的欠费账单，有点疑惑，记得前几天刚充值了费用。

点开看了一下，是腾讯云内容分发网络CDN和COS对象存储的欠费账单，有好几条账单，一共总应该欠了78元 。此前每个月腾讯CDN账单也就是一两块钱左右，登上腾讯云后台看了监控和日志，在7.5号晚上20点-23点时间段，流量异常的高。

中国境内：CDN 带宽峰值105.85Mbps、CDN总流量114.9GB、CDN总请求数5.33万次

我网站一般CDN带宽峰值不超过2M 通常400Kbps上下，一天CDN流量在200~300MB上下，一个月CDN用量流量在7~8GB左右，这几个小时用了我一年多的CDN流量了。我还是高估了人性，网站有好多年了 一直平安无事，我这小破站没什么内容，流量更是少的可怜，“大佬们 ”平时也看不上我这小破站 ，就没有考虑到恶意攻击或流量盗刷此类的风险，没想到还是被搞了，最后不得不做了一些防护。

2024.7.6 又被搞了，真顶不住了，腾讯云CDN和COS储存都是先计量后收费，CDN和对象存储COS 又欠费了83元，这样搞有意思么 ，rnmmp ......

中国境内：CDN 带宽峰值58.8Mbps、CDN总流量13.55GB、CDN总请求数50.81万次

已经设置了CDN的域名控制管理：防盗链设置 referer白名单、用量封顶配置，不知是不是我设置不对，怎么还是被刷了呢 

2024.7.5-2024.7.8 被刷的量：

2024.7.5-2024.7.8 对象存储COS：

我总共内容存储才63M 可谓是很少了吧，正常上个月才用了126M外网下行流量，mmp这次给我刷了281GB

产生费用：

我一年CDN加上COS最多十几元，这下好了用了我几年的费用了?。害人之心不可有，防人之心不可无，做了以下防护策略：

内容分发网络CDN：

1. 管理-基础设置-源站信息 开启COS回源（COS设置私有读写 然后CDN访问COS权限放开）
2. 访问控制-防盗链设置 白名单：referer白名单 (勾选“允许空referer访问” ，也可以不勾选 只能在自己网页域名里面访问；也可以把搜索引擎的域名加上 要不然 网站被收录不显示图片，只有纯文字了)
3. 访问控制- 开启IP访问限频配置-IP访问阈值 30QPS
4. 高级配置-用量封顶配置：瞬间用量 流量 100MB 每5分钟 、累计用量 流量 300MB 当天24点前

对象存储COS:

1. 储存桶设置为私有读写
2. 关闭 储存桶防盗链（COS不需要防盗链，全部走CDN，前提是要私有读写）

反正，最近每天晚上时间一到就被刷，换着IP刷，这家伙真是在作死的边缘徘徊，不知道自己在犯罪么，看有的站长已经包报网警了。现在我即便是做了防护策略也有被刷，肯定是不能完全避免的。

目前GitHub的项目ban-pcdn-ip来收集这些恶意IP段。

访问控制：

在控制台为域名针对性的开启访问控制功能（免费），以避免产生不必要的流量带宽消耗。

流量管理：

开启流量/带宽管理的相关配置（免费），监控域名流量或带宽的消耗情况并接收告警，及时了解流量消耗的相关信息。