大家好,我是鱼皮。
事情是这样的,昨天我在 B 站某个视频的评论区下被 @ 了:
我内心:熟悉?什么熟悉?我以为又是朋友开玩笑说哪个动物和我长得很像来着。
结果点进去一看,标题就直接 “震惊” 到我了!
“我做了个静态网页火了,一天欠下 XX 云 8000 元,客服可怜我优惠了 300 块”
如果我不是一个站长、如果我没有自己的网站,那我可能会看个乐,心想:“这人真倒霉!”;或者跟着吐槽几句 “这种问题不该出现啊!”
但是,我毕竟经历过太多类似的事情了,现在回过头来看这位博主的经历,我唯一的感受就是:同病相怜啊!
关注我的朋友都知道,我曾经的那些痛:
- 图床被刷流量,一天扣 2 万
- 新网站刚上线,就被攻击到无法访问
- 做了个面试刷题网站,被攻击到倒闭
- 直播教用服务器,刚开播就被攻击到宕机
- 我的图床密码被自己社群的朋友开源
经历这些事后,我最大的感受就是:很多事情在你真正亲身经历之前,都不会觉得它会发生在自己身上。
就像这位博主为什么会因为网站流量过多导致欠费 8000 元?而不是在欠费的第一时间停止服务呢?
据这位博主所说,他是开启了云服务商后台的一个 “延停服务”,开启这个服务后,哪怕你的账号欠费了,系统依然会为了维持你服务(网站)的正常运行,继续产生费用!
这个模式其实司空见惯了,我小时候拿爸妈手机偷偷用流量上网的时候,运营商在流量欠费几百块后才提醒我,导致我吃了一顿揍。
但比较坑的一点是,延停服务上显示的额度是 10 元,正常人可能都会认为超过 10 元就停止扣费并且提供服务了对吧?然而并没有!
如果博主不主动关闭网站,搞不好就真破产了。。。
好在最后的结果是好的,云厂商电话致歉了这位博主并帮他免单,看来各位朋友们的支持是非常有用的。
不过还有个问题,为什么一个静态网站在那么短的时间内能产生这么高额的流量费呢?
据博主所说,是被人攻击了,光有些人就恶意刷了几百 G 的流量。
唉,他的经历和我上次被刷近 2 万元对象存储流量的经历简直是一模一样,我当时也是万万没想到欠费了这么多,还能接着扣费。这种事情真的搁谁头上谁发畜啊!
吃一堑长一智。通过我们的这些翻车经历,也是希望能给到大家一些警醒和帮助吧,不只是吃个瓜看个乐而已。
鱼皮给大家一些建议:
1)只要你做的是免费的网站,能不用 CDN、对象存储等按量计费的服务,就不建议使用!别跟我说什么 CDN 能加速、对象存储很方便,不如搞一个带宽稍微大点的服务器,网站加载速度也是比较快的。
而且想要彻底预防网站攻击(比如 DDOS、CC)是非常难的,大厂的高防服务年费几十万根本掏不起的。使用服务器来部署免费网站那,有人攻击了就让它停一会儿呗,起码被刷流量了不会让你 “破产” 吧。
2)网上有些同学提到使用 Vercel、GitHub Pages 等免费服务来部署网站,这确实是省钱的好方法,我之前也给大家推荐过的。
但我想应该很多同学都不知道 Vercel 会封号吧?我之前很多免费开源网站都是部署到 Vercel 上的, 后来因为一次网络攻击,Vercel 直接把我的账号给永久封禁了,而且不止被封了一个。
至于为啥账号会被 Vercel 封禁,很简单的道理:别人攻击你的网站、你的网站又是部署在 Vercel 服务器上的,相当于别人攻击的是 Vercel 的服务器,而 Vercel 封不了攻击者,那就只能封你的网站和账号咯。
不行,想到这里觉得越来越惨了,网站被攻击的是我,账号被封的也是我。
总之,免费的服务可以用,也推荐大家用;但是如果是部署商用网站,还是用稳定的云服务器吧。
还有同学建议使用 Cloudflare CDN。咳咳,免费版本 Cloudflare 俗称 “减速器”,用上之后或许能提高安全性,但国内访问网站速度反而会更慢。
3)只要你用了云服务商的付费服务,都得留个心眼,防止 “破产”。比如在云服务商后台配置费用预警、配置各种服务的流量限制、自动封禁 IP 策略等,当出现欠费时,第一时间会收到服务上发送的短信、或者电话,能够尽早发现问题并处理。
但还是要注意,告警并不是完全可控的解决方案,假如凌晨 3 点给我发了短信告警,我还是得第二天才能看到,说不定为时已晚。不过总比什么都不做要好。
4)多学习一些网站安全知识,能防止一种攻击是一种,像 XSS、SQL 注入这些经典问题是完全可以在代码和技术层面解决的。这里必须要给大家安利我本人制作并完全开源的免费网站安全学习网 测试鸭 ,可以学到 30 多种常见的网站漏洞。
测试鸭:https://github.com/liyupi/ceshiya
OK,就先分享到这里,觉得有帮助的话点个赞吧,谢谢大家~
