OSS使用建议等遇到了可能吓瘫你

最近发现ECS的带宽可能不够用（由于网站图片较多），于是开始关注OSS和CDN


弄了半死，终于把网站的图片、JS、css等静态资源全部转移到了OSS，用OSS客户端工具上传，内网速度还是相当快的，25G内容1小时上传搞定，内网还不收费！


然后又开始搞ECS和OSS图片文件同步，开始试水FTP工具，最终放弃了，原因是总是莫名其妙的报错，很烦人。


后来选择了 Sync4oss内测版 还不错  很方便，网友上传到ECS的图片都能及时的同步到OSS。但是这个工具服务器貌似不能注销，注销监听就没用了，也就失效了


到了这里配置完成了，开始弄一个测试域名试用


第一天从晚上9点开始使用，OSS的流量统计实时不可见，必须要等到次日以后一个小时内才能出前一天的外网出流量使用情况
第二天用了一整天  于是流量图到第三天出来了，如下：




一个测试的二级域名一天大约1.9G ，流量IP一天也就在不到300


有人问：为何IP也不多，而外出流量却如此高呢？

售后工程师：[font=微软雅黑, 'Microsoft Yahei', tahoma, arial, 'Hiragino Sans GB', 宋体]您好，图片比较多浏览就会比较大。刷新页面如果访问oss文件就会产生流量。oss如果被恶意访问产生的流量也是收费的。目前可以通过refer白名单进行防盗链
流量统计方法：“网页右击”---“网页另存为...”“保存类型：网页  全部”----然后会保存出一个文件夹，你自己看看你每个页面的文件夹多多大吧 ，一般都在1M以上
所有一个页面的流量自己掂量去吧，绝不是你以前理解的几十到100多KB，那时页面纯代码的占用字节大小。。。。


好了，其实如果网站每日按照正常的使用，费用我们也是完全能接受的 如下图：






每日10G的流出流量，40G的存储也就每天4元，也就一两根烟的钱，一般都能接受的。。。


可问题来了，哪个站长又能保证网站能365天没有人恶意攻击呢？  万一遭受到1G或者100G的DDOS流量攻击，OSS的费用又是如何计算的呢？我们的又该如何呢？


咨询：
[font=微软雅黑, 'Microsoft Yahei', tahoma, arial, 'Hiragino Sans GB', 宋体]按照您的说法，我用refer白名单 限制了只能某 HTTP://*.XXX.COM 域名访问OSS资源，但如果HTTP://*.XXX.COM遭遇强大的DDOS攻击，例如每秒流量达到4G，你们的OSS统计需要隔日才能看到前一天的流量使用量，等到第二天我们看到流量都已经产生数额巨大的流出流量，再按照你们的说法“oss如果被恶意访问产生的流量也是收费的”这一天就流量费用就可能有上百万，你让我们小站长如何支付？  
[font=微软雅黑, 'Microsoft Yahei', tahoma, arial, 'Hiragino Sans GB', 宋体]

回答：
售后工程师：[font=微软雅黑, 'Microsoft Yahei', tahoma, arial, 'Hiragino Sans GB', 宋体]您好。被攻击的情况下，大流量都是无法避免的。没有什么更好的办法，可以帮助到您，让您在面对攻击的时候可以不产生额外流量。如果您存在这个问题，可以考虑使用云服务器ECS 直接存储，购买带宽上限的服务器，当遇到大流量攻击的时候，带宽达到了上限，就会清洗，也不会产生额外的流量费用了。


看看，很清楚了吧，只要有外出流量OSS就会自动计费，不管是正常访问还是恶意攻击，如果每秒1G的DDOS攻击，我们又该支付OSS多少钱呢，好吧  我们来算算
1G/秒 * 60秒 * 60分 *24小时 = 1日流量共 86400G = 流量流出费用 该日 为 [font=微软雅黑, 'Microsoft Yahei', 'Hiragino Sans GB', tahoma, arial, 宋体]52479.4元，如下图：


计费：




这才是1G的DDOS，或许OSS能防御什么的，但是5G以上呢？不是不能防御了吗  好吧10G攻击 ，费用 52479.4元*10=524794元  你....交得起？？100G你还能交得起？？




所以我认为没有好的防御体系和完美的计费体系，最好能识别正常流量和恶意流量  进行过滤机制，没有这里OSS又让我们如何是安心使用呢（CDN流量计费也是同理）


阿里云要是真心想发展这些服务，就应该从自己技术做起，保证服务稳定、快捷的同时，也要保证收费在一个合理的范围内，不能由于恶意攻击 影响正常流量的统计计费！