不用CDN就没事，用阿里云CDN就被攻击刷流量，阿里云表示证明不了就要用户买单，如何看到这种行为？

楼上 @佚明 已经讲得很好了，起因是三大运营商对PCDN打击越来越大

普通家用带宽的下行流量肯定是大于上行流量的，而PCDN恰恰相反。根据这种规则，很容易被判定有问题遭到封号。因此PCDN从业者会通过暴力下载文件的方式，来拉高自己的下行流量。挂在CDN上各种未作流量过滤的安装包、大图片甚至比较大的JS和CSS文件就变成了他们的目标，0成本几乎不限速并且可以多线程同时下载

其中以山西联通最为猖獗

每天晚上 20~23 时准点被山西联通 IP 刷流量现象的分析和猜测

比较初步的解决方案是加黑名单，github上有项目提供已知的IP段清单，需要的朋友自己取用

unclemcz/ban-pcdn-ip: 收集恶意刷取网站CDN流量的PCDN IP段清单

当然，实际上这种黑名单的方式是封不完的。因为是动态IP，今天把这个IP段封了，明天他重新分配一个新的IP段再来。况且并不只一个地域有PCDN，我这边一口气把山西联通的全部封完，第二天又冒出个江苏扬州的，扬州的封完又来了安徽芜湖的，全国都来一遍的话，这生意还要做吗？不过有一点，这些IP无一例外都是 @中国联通

据说他们也是有组织的，一旦发现有这类公开的无保护下载链接，就会共享使用。这就导致要么不被刷，要么就直接被刷到爆

说说我们这边，其实这个情况今年以前就有了，本来每天也就十几二十个G，不痛不痒我也就没管。直到六七月份开始突然变本加厉。其中最疯狂的一天，3个小时刷掉好几个T的流量，把我流量包刷完还倒欠腾讯云700多，并且导致所有非预付费业务停机

CDN转EdgeOne没用，各种防护策略没用，问客服怎么办，直接推荐了每个月几千的高级版，还支支吾吾不保证能解决。打电话给联通反映情况，他们说只配合警察。整理了所有资料在本地报案，帽子叔叔认为没有办法认定他们的行为违法，不予立案

与题主遭遇的阿里云不同，腾讯这块还是有担当的，后台跟客服反馈后把那几天的扣款金额都退了，不过套餐消费的没法退

后来解决方案也很无奈，自己写了个服务做流量过滤，所有大文件都放到非公开的COS上，通过代理服务提供参数访问，之后就不再有这种情况发生了。有趣的是，迁移之后的几天，后台看到依旧每天几十万次访问老链接，还有一个香港机房代理的IP像没头的苍蝇一样，不停地进行后台漏洞攻击

表面上看，CDN被刷，云服务提供商得到了流量费用，也是获利方之一。不过稍微想一下就知道，一旦用户的流量被刷，自己的服务提供商又不作为，那势必要换个新的有作为的服务商，甚至会把所有配套业务都迁走。这对自己的长期利润以及品牌而言，都是非常大的伤害。比如我们公司，很久之前就把除域名外的全部业务都迁移到腾讯云了。我认为这场闹剧中除了PCDN，没有其他赢家

总结一下题主的疑问，我们购买的CDN流量包以及括按量付费的消费都是财产。阿里云作为CDN服务的提供商，有责任为用户的资产安全作保护。虽然这种攻击模式难以界定，但并不能粗暴地因为难界定就躺平不保护。阿里云作为国内最大的云服务提供商，这种最基本的担当需要有。本次事件发生时，很多小的云服务器平台反而是响应最迅速的，第一时间发布了公告并给出了一些处理建议，给我留下了深刻的印象。反观头部的这几家，一言难尽

同时从我的切身体验来看，腾讯云这次处理的方式比阿里云好很多。同样无法阻止攻击的情况下，选择先期为用户承担大部分直接损失。800块钱对于我们公司和腾讯云都不算多，但这种担当是阿里云所不具备的

更新：

这两天刚好碰到了阿里云的另一个坑

最近上面收紧了云平台短信发送的资质审核，已经过审的需要补充资质信息。我们在腾讯云和阿里云上都有用到，所以都得补

我先处理的腾讯云，说实话一边骂一边补完的。它那边不仅资料几乎全部重填，营业执照要盖章我能理解，法人身份证、管理员身份证竟然还得先打出来盖公章再扫描，我也是服了。更服气的是不同的资质不能用同一个管理员，我们账号下有几个资质就得找几个人来当管理员！每个人的身份证正反面和持证照片都得打印出来盖章再扫描，如同脱裤子放完屁还得自己穿起来。拉了好几个壮丁才凑够，虽然很繁琐，但还算是动动手动动嘴能搞定的问题

阿里云这边需要的资料就少多了，很多都只要自己填写，连照片都不用上传，加倍好评！但凡事都有但是，我们部分业务涉及到替客户发送短信时，需要用他们的抬头做签名。签名和资质得匹配的上，所以需要有个授权书，客户将某个与自己关联的签名授权给我们公司的账号。授权书中有个授权时限，代表过期后我们就无权继续使用他们抬头做签名。由于客户绝大部分都是甩手掌柜，不愿意管这个，也不愿重新弄授权书走流程盖公章，所以他们一般会给个非常长的时间，像这个客户就比较极端

虽然我们业务不可能真的做100年，但这类单位一般都非常难要到公章。出于对我们的信任，也是为了双方方便，直接写个100年一劳永逸。同样，当时阿里云也是允许的，并且每次申请也都过了。但这次补充资质就开始搞幺蛾子了，授权书有效期限被限制成了1～3年

找客服，只有车轱辘话

打开链接看一眼，更新时间：2024-09-10 10:33:40，很好，敢情就临时恶心人。要是为了符合新龟腚，这边六七个客户我都得联系他们，重新打授权书走流程盖公章，这些动作都得月底前完成

这个时候又要拿腾讯云来对比了。申请资质的时候，腾讯云不需要授权书，只有申请签名才需要。所以这次更新资质不需要补充授权书。同时我看了一眼，哪怕它最新的授权书模板对于授权时间的要求也只是一年以上，依旧未对最大时限作限制

让阿里云客服打电话给我，还是车轱辘话。我脾气可不会好，被我冲了一顿，让他继续向上提，目前还未有其他答复。讽刺的是，昨天晚上8点多逛街时，还接到了阿里云大客户经理的电话，推销双十一活动，太拼了

从我的角度，如果今天解决不了，那明天就开始联系客户。对于我，反正一样要让客户走流程盖章，不如直接把腾讯云的授权书发给他们，省的3年后还要重来。如果全部迁移完毕，我们留在阿里云的就只有域名一项了。其他业务之前就全部挪走了，要不是域名迁移有可能影响正常业务，我也早转移走了

@阿里云 你多干些人事不行吗？还最大的云服务提供商呢，我呸！再买我就是狗

非得让人出大招，何必呢？