亚洲一区精品自拍_2021年国内精品久久_男同十八禁gv在线观看_免费观看a级性爱黄片

Article / 文章中心

常見的CC攻擊防護最佳實踐

發(fā)布時間:2021-04-14 點擊數(shù):694

點擊查看原圖


本文介紹了常見的CC攻擊場景,并結合阿里云Web應用防火墻的相關功能給出具體的防護策略和配置,幫助您有針對性地防御CC攻擊。

概述

您可以從以下不同的CC攻擊防護場景中選擇貼近您自身實際需求的場景,了解相關的防護設置:
  • 大流量高頻CC攻擊
  • 攻擊源來自海外或公有云
  • 請求特征畸形或不合理
  • 濫刷接口(登錄、注冊、短信、投票等)
  • 惡意掃描
  • App攻擊
  • 惡意爬取

大流量高頻CC攻擊

在大規(guī)模CC攻擊中,單臺傀儡機發(fā)包的速率往往遠超過正常用戶的請求頻率。針對這種場景,直接對請求源設置限速規(guī)則是最有效的辦法。推薦您使用WAF自定義防護策略功能的頻率設置,配置限速策略。

配置示例:您可以配置以下規(guī)則,當一個IP在30秒內(nèi)訪問當前域名下任意路徑的次數(shù)超過1000次,則封禁該IP的請求10個小時。該規(guī)則可以作為一般中小型站點的預防性配置。配置示例:自定義防護策略-限速設置
在實際場景中,您需要根據(jù)自身業(yè)務需求調(diào)整防護路徑和觸發(fā)防護的閾值,并選擇合適的處置動作,以達到更有針對性、更精細化的防護效果。例如,為了預防登錄接口受到惡意高頻撞庫攻擊的影響,您可以配置登錄接口的地址(示例:使用前綴匹配邏輯符,將匹配內(nèi)容設置為/login.php),并設置60秒內(nèi)超過20次請求則進行封禁。限速規(guī)則示例
在使用CC防護時,請注意以下內(nèi)容:
  • 處置動作中的滑塊嚴格滑塊驗證用于校驗請求是否來自于真實瀏覽器(而非自動化工具腳本),適用范圍僅限于網(wǎng)頁或H5,不適用于原生App、API等環(huán)境。針對原生App、API等環(huán)境,請將處置動作設置為阻斷。
  • 針對有可能被CC攻擊防護策略誤傷的接口或IP,您可以通過訪問控制/限流白名單功能將其統(tǒng)一加白。
  • 請勿對App、API環(huán)境開啟CC安全防護防護-緊急模式。
如果您開通了旗艦版的Web應用防火墻實例,則您可以在頻率設置中使用除IP和Session外的自定義統(tǒng)計對象字段,設置更細粒度、更多維度的限速功能。例如,由于針對IP的封禁會影響NAT出口,您可以使用cookie或者業(yè)務中自帶的用戶級別參數(shù)作為統(tǒng)計對象。下圖配置針對業(yè)務中標記用戶的cookie(假設cookie格式為uid=12345)進行統(tǒng)計,并使用滑塊作為處置動作,避免誤攔截。cookie統(tǒng)計

攻擊源來自海外或公有云

CC攻擊中經(jīng)常出現(xiàn)很大比例的攻擊來源于海外IP、公有云IP、IDC機房IP的情形。

對于面向中國用戶的站點,在遭受攻擊時可以通過封禁海外訪問來緩解攻擊壓力。推薦您使用WAF的地域級IP黑名單功能,封禁中國境外IP地址的訪問。地域級IP黑名單
如果您已經(jīng)開啟了Web應用防火墻的Bot管理模塊,則您可以使用爬蟲威脅情報功能,封禁常見IDC IP庫的爬蟲IP,例如阿里云、騰訊云、IDC機房的IP段。
說明 許多爬蟲程序選擇部署在云服務器上,而正常用戶很少通過公有云和IDC的源IP訪問您的業(yè)務。
配置示例:您可以開啟以下爬蟲威脅情報規(guī)則,封禁騰訊云爬蟲IP的訪問。爬蟲威脅情報規(guī)則-騰訊云

請求特征畸形或不合理

由于很多CC攻擊請求是攻擊者隨意構造的,在仔細觀察日志后,往往會發(fā)現(xiàn)這些請求有很多與正常請求不相符的畸形報文特征。常見的畸形報文特征包括:
  • user-agent異?;蚧危豪?,包含Python等自動化工具特征、明顯格式錯亂的UA(例如Mozilla///)、明顯不合理的UA(例如www.baidu.com)。如果存在以上請求特征,可以直接封禁請求。
  • user-agent不合理:例如,對于微信推廣的H5頁面,正常用戶都應該通過微信發(fā)起訪問,如果UA來自于Windows桌面瀏覽器(例如MSIE 6.0),則明顯是不合理的。如果存在以上請求特征,可以直接封禁請求。
  • referer異常:例如,不帶referer或referer固定且來自于非法站點,則可以封禁這種請求(訪問網(wǎng)站首頁或第一次訪問頁面的情形除外)。針對只能通過某個站內(nèi)地址跳轉(zhuǎn)訪問的URL,您可以從referer角度分析行為異常,決定是否封禁。
  • cookie異常:正常用戶往往會在請求中帶上屬于網(wǎng)站本身業(yè)務集的一些cookie(第一次訪問頁面的情形除外)。很多情況下,CC攻擊的報文不會攜帶任何cookie。您可以從這個角度出發(fā),封禁不帶cookie的訪問請求。
  • 缺少某些HTTP header:例如,針對一些業(yè)務中需要的認證頭等,正常用戶的請求會攜帶,而攻擊報文則不會。
  • 不正確的請求方法:例如,本來只有POST請求的接口被大量GET請求攻擊,則可以直接封禁GET請求。

對于上述異常的請求特征,您都可以在特征分析的基礎上,使用WAF自定義防護策略ACL訪問控制規(guī)則設置對應的封禁策略。

配置示例:
  • 攔截不帶cookie的請求。攔截不帶cookie
  • 攔截不帶authorization頭的請求。攔截不帶authorization

濫刷接口(登錄、注冊、短信、投票等)

對于網(wǎng)頁環(huán)境(包括H5)中的一些關鍵接口,例如登錄、注冊、投票、短信驗證碼等,推薦您使用數(shù)據(jù)風控功能進行防護。

數(shù)據(jù)風控在關鍵接口頁面中插入JS代碼,采集用戶在頁面上的操作行為和環(huán)境信息,綜合判斷發(fā)送至關鍵接口的請求是否來自于真實的用戶(而不是自動化工具腳本)。數(shù)據(jù)風控判定的依據(jù)主要來自于人機識別的結果,跟發(fā)送請求的頻率、來源IP沒有關系,針對一些低頻、分散的攻擊請求有很好的效果。

注意 數(shù)據(jù)風控的判定依賴于開啟防護后在正常請求中附帶的驗證參數(shù),該功能不適用于不能執(zhí)行JS的環(huán)境(例如API、Native App等)。為避免誤攔截,建議您在啟用數(shù)據(jù)風控前先在測試環(huán)境進行測試,或是先開啟觀察模式并跟云盾工程師確認后,再開啟防護模式。

惡意掃描

大規(guī)模的掃描行為會給服務器帶來很大壓力,除了限制訪問請求頻率外,您還可以使用掃描防護功能來加強防護效果。掃描防護支持以下設置:
  • 高頻Web攻擊封禁:自動封禁連續(xù)觸發(fā)Web防護規(guī)則的客戶端IP。
  • 目錄遍歷防護:自動封禁在短時間內(nèi)進行多次目錄遍歷攻擊的客戶端IP。
  • 掃描工具封禁:自動封禁來自常見掃描工具或阿里云惡意掃描攻擊IP庫中IP的訪問請求。
  • 協(xié)同防御:自動阻斷阿里云全球惡意掃描攻擊IP庫中IP的訪問請求。
掃描防護

App攻擊

針對App攻擊,除上述頻率設置、地域級IP黑名單、ACL訪問控制等手段,您也可以接入云盾SDK進行防護。

SDK方案通過將SDK集成到App中,對請求進行安全簽名和校驗,并結合各種硬件信息,綜合識別請求是否來自于合法的App。只要不是來自于官方App的合法請求,一概攔截。這是一種“白名單”思路,只放行合法的請求,而不用去分析非法請求的特征。

SDK防護需要開啟App防護模塊后才可以使用。

惡意爬取

對于很多資訊類網(wǎng)站(例如征信、租房、機票、小說等),大量的爬蟲往往會造成帶寬增大、負載飆升等異常,以及數(shù)據(jù)泄露等問題。針對爬蟲問題,如果上述手段不能起到很好的防御效果,推薦您開啟并使用Bot管理模塊,更有針對性地防御爬蟲。

如果您有其他問題,可以聯(lián)系北京志遠天成阿里云代理商,為您提供一對一專業(yè)全面的技術服務,同時新老阿里云會員,均可享受我公司代理商價格,歡迎咨詢!歡迎咨詢.gif