摘要：# 你以为高防CDN很便宜？看完这3个隐藏账单，我默默关掉了网页 上周，一个做电商的朋友半夜给我打电话，声音都哆嗦：“兄弟，我那个站不是上了高防CDN吗？这个月账单怎么比平时多出两万多？！” 我让他把账单截图发过来。好家伙，一眼扫过去——防护流量费倒是…

你以为高防CDN很便宜？看完这3个隐藏账单，我默默关掉了网页

上周，一个做电商的朋友半夜给我打电话，声音都哆嗦：“兄弟，我那个站不是上了高防CDN吗？这个月账单怎么比平时多出两万多？！”

我让他把账单截图发过来。好家伙，一眼扫过去——防护流量费倒是正常，下面密密麻麻几行小字：回源流量费、HTTPS请求费、超限攻击清洗费。他当时就懵了：“这些是啥？签合同的时候没人跟我说啊！”

这种场景你应该不陌生吧？选高防服务，销售跟你谈的都是“G口防护”、“T级带宽”、“白菜价每G”。真到结算的时候，账单上那些不起眼的“附加项”才露出獠牙。说白了，很多服务商的主套餐就是个“裸机”，真正要命的东西，都得额外付费。

今天，咱们就掰开揉碎了聊聊高防CDN那些没人爱提，但能让你钱包大出血的隐藏成本。别等到账单来了再拍大腿。

一、回源费：你以为流量“免费”绕个路？

这是坑最多的地方，没有之一。

高防CDN的原理，是把你的网站内容缓存到遍布全球的节点上。用户访问时，先打节点，节点上有的直接返回，没有的才去你的真实服务器（源站）拿——这个“去拿”的过程，就叫回源。

问题来了：这个“回源”的流量，谁出钱？

很多朋友想当然：“我都买了你那么大防护流量了，回源这点小流量，还不包了？” 现实很骨感。绝大多数高防CDN服务商，回源流量是单独计费的，而且价格往往不便宜。

为什么？我给你打个比方。你买了个高级净水器（高防CDN），它承诺把入户的浑水（攻击流量）都过滤干净。但净水器自己需要用电、需要换滤芯（回源），这部分成本，厂家可没说要替你承担。

更坑的是下面这两种情况：

1. 动态内容多，回源率居高不下。 如果你的网站像电商后台、用户中心、实时查询接口，大部分内容没法缓存，几乎每次请求都得回源。那相当于攻击流量被拦下了，但正常的每一次访问，你都得付两份钱：一份给CDN的防护流量，另一份给回源流量。攻击越大，正常用户越多，你回源费就炸得越狠。 我见过一个做在线API服务的，防护成功挡住了300G的DDoS，结果回源费账单比平时高了十几倍——因为攻击触发了海量的错误请求回源。

2. 源站在海外，回源线路天价。 有些服务商，它的高防节点在国内，但你的真实服务器（源站）在亚马逊AWS美国区或者阿里云香港。从国内节点“回源”到海外服务器，走的是国际带宽。这价格，可比国内带宽贵出一个数量级。你以为用着国内“便宜”的高防，殊不知每一秒的回源都在烧美金。

怎么避坑？ 签约前，死磕客服这几个问题：

• “回源流量怎么算？包在套餐里吗？”
• “从你们的国内节点，回源到我国外的服务器，走什么线路？按什么标准收费？”
• “能不能给我看一份详细的、包含所有可能收费项的价目表？”

别听口头承诺，一切以书面合同为准。

二、请求费：HTTPS不是“免费午餐”

现在是个网站都上HTTPS了，小锁头一挂，用户安心，谷歌喜欢。但很多人不知道，在CDN世界里，每一次HTTPS请求，都可能是一笔小钱。

高防CDN处理HTTPS请求，比HTTP请求要复杂得多。它需要完成SSL/TLS握手、解密请求、再加密响应，这消耗更多的CPU资源。所以，很多服务商会针对HTTPS请求数单独收费，或者对HTTP请求免费，但对HTTPS请求按万次、甚至百万次来计费。

听起来单价很低？一千万次请求也就几十块钱。但你别忘了，在高防场景下，攻击往往伴随着海量的无效请求（CC攻击）。一个每秒几十万次的CC攻击，哪怕被成功拦截了，这些“请求”本身，就已经产生了天价的请求费账单。

这就好比，有人雇了一万个小孩，不停地按你家昂贵的电子门铃。虽然保安没让他们进小区（攻击被拦截），但你家那个高级门铃，每响一次可是要耗电、要磨损的（产生请求费）。最后贼没进来，门铃账单却让你破产了。

更骚的操作是，有些服务商的“超量请求费”阶梯设置得非常陡峭。前1000万次请求一个价，超过部分价格直接翻倍。一场持续几个小时的大规模CC攻击，足以让你轻松突破阶梯，进入“钻石VIP收费区”。

怎么办？

• 分清计费模式： 问清楚，你的套餐是“按带宽计费”还是“按请求量计费”，或是混合计费？HTTPS请求是否单独列出？
• 关注请求数监控： 后台一定要有实时、清晰的请求数统计图表。发现异常陡增，立刻能收到告警。
• 考虑动静分离： 把真正的静态资源（图片、CSS、JS）扔到又便宜又单纯的普通CDN或对象存储上，只让动态请求走高防CDN。能省一大笔。

三、超限保护费：最后的“保险”，可能最贵

这是最容易被忽略，但也可能最致命的一项。

所有高防服务，无论吹得多厉害，都有一个防护上限。比如你买的是500Gbps的防护套餐。那么当攻击流量超过500G时，服务商会怎么办？

良心一点的，可能会启动“弹性防护”，帮你扛住，事后再结算超出的部分。但更多的标准操作是：触发“超限清洗”或“黑洞路由”。

• 黑洞路由： 直接把你网站的IP在运营商层面“扔掉”，所有流量（包括正常用户的）都进不来。你的网站会完全失联，直到攻击停止。这期间，业务损失自己承担。
• 超限清洗： 服务商动用更高等级的、更昂贵的清洗资源帮你硬扛。这部分“超额防护”的服务，可不是免费的午餐，而是事后按量或按时长天价计费。

我曾经看过一份某云服务商的隐藏条款，里面写着：“当攻击流量超过购买规格时，将自动启用超保底防护，费用按当日最高攻击峰值超出部分，以XXX元/G/天进行结算。” 翻译成人话就是：如果你买了500G防护，当天最高被打到了600G，那么超出的100G，按一个非常昂贵的单价，收你一整天的钱！

很多销售在签单时对此轻描淡写：“哎呀，超过500G的攻击很少见的，真遇到了也是特殊情况，到时候我们再协商嘛。” 千万别信这种鬼话。 真到了你被打瘫、急得跳脚的时候，哪有“协商”的余地？账单他说多少就是多少。

怎么应对？

1. 搞清楚“上限”和“后事”： 合同里必须明确写明，攻击超过防护能力时，服务商的具体操作流程是什么？是直接黑洞，还是转入收费清洗？收费清洗的标准是什么？
2. 评估自身风险： 客观评估你的业务可能招致多大仇恨。如果真是高风险行业，别在基础防护上抠搜，适当买高一些的规格，或者选择那些承诺“无上限防护”（虽然通常也有隐形上限）的顶级服务商。
3. 准备B计划： 永远要有备用方案。比如，另一个机房的热备站点，或者紧急情况下切换DNS到另一个高防服务的能力。别把鸡蛋放在一个篮子里，也别把生死交给一份合同的模糊条款。

最后说几句大实话

高防CDN这个市场，水很深。价格战打得凶，但羊毛出在羊身上。便宜卖的往往是“入场券”，真正赚钱的都在后面的“增值服务”和“资源消耗费”里。

所以，别再只看首页那个显眼的“XX元/G/月”了。把它当成买车——裸车价没意义，你要看落地总价。把回源费、请求费、可能的超限费都算进去，再除以你真实的业务量，才能得到真实的“每用户安全成本”。

如果你的业务正在选型，我建议你：拿一份真实的业务日志（哪怕只有一天），找两三家心仪的服务商，让他们给你做一次详细的模拟报价。 别怕麻烦，这能帮你避开99%的账单“惊喜”。

说到底，安全防护没有“性价比之王”，只有“适合与否”。搞清楚所有规则，算明白所有账单，然后做出的选择，才是对你业务真正负责任的选择。

行了，不废话了，赶紧去翻翻你的合同吧。