情况说明

ip.lockview.cn 是我公司对外提供IP查询的免费服务网站，IP库每5-7日更新一次，因我公司IP库准确率高，所以经常被高频采集，为了保证访问畅通，此网站服务器采用无限流量，按流量付费给机房服务商，但近日高额流量费用引起公司财务关注，为此，技术人员通过分析发现如下情况。

网站当日访问次数统计(零点至下午15:20)：


如上所示，15个小时以内，网站被访问了3059万次，全天预计来访将达到5000万次以上。
同时对来访IP进行了统计，发现了大量恶意来访，如下图：


如图，很明显，一个来自山东济南的IP 58.56.1.46，在15个小时内竟然访问了4.9万次，而达到1万次以上的独立IP也不少，恶意无疑！(单个IP每日来访1000次以上，均不算正常来访)

在服务器上的网卡实时流量状态如下图：


发送流量高达“每秒41.2M”，如果全天保持这个流量，每日总流量可以估算为： 24小时 * 60分钟 * 60秒 * 41.2M = 3559600M = 3559.6G
每日支付给机房的费用大致可以估算为： 3559.6G * 0.8元人民币/G(各主机商价格有差异，但差异不会太大) = 2847.68元/天
作为一个免费提供服务的网站，这个费用相当惊人，如果放任不管，每年流量费用将高达103万元。

可能选择的对策

因为此网站的服务为实时IP查询服务，没有办法实现静态化，所以无法通过免费CDN分流，因此只能采用以下方法节约流量成本：

1. 将无限流量改为固定流量
此方法可以节省成本，但一旦网站实际来访量超过固定流量，多余的访客将无法访问网站(并且这种情况是间隙性或随机性的，还存在高峰期和低峰期的情况，网站管理者不一定在本地能真实发现网站经常打不开的问题，尤其是外贸类网站，国内休息时间正好是国外高峰时间)，固定流量的主机价格一般为如下标准(各主机商价格会有差异，但差异不会太大)：
2CPU8M内存主机 1M固定流量 2700元左右
2CPU8M内存主机 5M固定流量 3700元左右
2CPU8M内存主机 45M固定流量 36000元左右
...
如果以后来访流量继续突破固有上限，那么费用会继续攀升。
固定流量的服务器对于访问量稳定的中小企业的网站而言，还是比较实用的，但是一旦遇到攻击、超流的情况，网站将因为对外流量不足而间隙性或随机性无法访问，会引起业务流失，并影响客户体验和忠诚度。

2. 采用Locksee反采集和镜像
此方法可以限制恶意来访，并保证正常访客的浏览。

使用Locksee后效果

针对采集和镜像的行为，使用Locksee只用勾下以下选项即可


安装好Locksee代码后，流量效果立现，如下图：


可以看到，网卡流量立即从41.2M降至5.7M，效果明显。

打开Locksee控制台，可以看到在不长的时间内就限制了近3万次来访，后经过来自全国各地朋友的测试，正常访问没有遇到任何问题，证实了限制恶意来访的有效性。

一些使用中的疑问

为什么在控制台暂停locksee服务以后，流量依然没有变化？按道理暂停后应该相当于没有限制，但为什么只有在删除代码后，流量才会暴增呢？

答：这是因为locksee每天接收的请求数以亿记，所以必须采用高速内存来存储限制状态，对于已经判定为攻击行为的IP，将加入高速缓存库(每2小时到期)，只要再次出现就会直接限制，所以即使暂停服务，这些恶意行为的IP依然是被限制处理的，并且高危恶意IP库是共享的，除非locksee服务器清除缓存或缓存自动到期后(2小时有效期)，系统将重新对IP行为进行判断。

使用Locksee后，发现高频率的来访IP依然在web服务端的日志中存在

答：Locksee并不会禁用任何IP的网络，只是将其进行了限制处理，要理解这一点，举个例子，比如某个业务员去拜访另一个公司的经理，每次都只是在门卫登记后，就被各种推脱，并没有见到对方，道理相同，那么Locksee将这种“推脱”变成了：比如显示网站错误、跳转至其它页面或网站，而web服务器前端(相当于门卫)的日志依然会被记录， 如果限制后显示或跳转的页面位于网站自身目录，那么依然会有流量(视显示页的大小而定)，所以如果将限制的IP转至外网(请不要跳转至知名搜索引擎，以免被对方认为是攻击行为而被加入对方的黑名单)，那么节省的流量会更多，具体要看自身需要而定，我们提供了各种效果，可以灵活选用。