最近,一则标题为《 Netlify向我这个小网站开了10万美元天价账单》的帖子在reddit论坛上火起来。
下面我将事情简单的复述一下:
上周末,Netlify给我发邮件说:您的网站欠费104500美元。 我还以为是诈骗邮件呢,结果一看后台,还真是欠他们这么多!
190TB流量,4天用完
我当时就懵了,心想会不会是被DDoS攻击了。Netlify的流量计费是55美元/100GB,单单2月16号这一天,我就被干了60.7TB,太吓人了。这小破站存在Netlify上4年了,平时一直白嫖免费流量,每个月用不了10GB,每天也就200左右的访问量,有啥可攻击的价值?
客服说是DDoS,还给了5%的“优惠”
我联系了Netlify客服,他们说查过了,流量用量是真实的,来源是各种用户代理,属于DDoS攻击。然后这客服居然跟我说,遇到这种情况时,他们一般会向客户收取20%的费用。但是因为我这金额太大了,所以“优惠”到5%,意思就是我还得掏5千刀出来。
没DDoS防护,不设消费限额,还迟迟不报警
我越想越觉得这事不靠谱。Netlify、Vercel这种无服务器平台,居然不带DDoS防护?就算不防,至少应该有个消费限额吧?更可恶的是,我网站费用飙升成这样,他们居然不及时通知我!我翻了邮箱和垃圾箱,啥提醒邮件都没有找到,只看到一条“额外流量包购买”的邮件。这很难不让人怀疑他们是不是故意不搞这些防护功能,就等着事后敲诈勒索一笔。
攻击目标居然是我网站上的一个音频文件
攻击者集中火力请求我网站上的一个3.44MB的音频文件,这确实也有我的锅,不该把音频直接放网站上,应该用SoundCloud这样的第三方服务的。但这也不影响Netlify在这事上的责任啊,该有的防护和消费限制一样都不能少。
总之,钱我是没打算掏
我先把这事儿发论坛上,听听大家的意见。网站我已经搬到Cloudflare了,学到了个惨痛教训,以后再也不碰Netlify(还有Vercel)了。
感觉用这些云服务真的一不小心就要破产了啊!
如果你运行一个小项目,且没有得罪什么人,那自然不必有什么顾虑。
但如果你的项目流量很大,又或者被人利用或攻击了,那对不起,Netlify 的收费是额外 $55/100GB。
像本推里提到的这位小哥,他只是在 Netlify 上运行了一个静态页面,每天也就 200 个 UV 访问,每月的流量使用从来没有超过 10GB 过。
但就是这么突然—— 2 月 16 日他的网站突然产生了 33385/55 * 100GB = 60.7TB 的流量,于是他立刻联系了客服,被告知仍然要收取 20% 的费用,虽然经过一系列交涉,金额降到了 $5k,这但仍然是一笔很大的费用。
之前我也见过好几件这样的案例了,有阿里云 CDN 的,有 Vercel 的,也有 Render 的,大家用这些服务的时候一定要小心,设置好防盗链,设置上限阈值。
以及最重要的一点:广结善缘,不要树敌。