Web应用程序往往是黑客们最喜欢下手的攻击目标,各种各样的原因,导致了开放在互联网上的web应用中藏着数不清的漏洞。这些隐藏的漏洞,总是想”安静的当个美男子般”藏在角落里不被发现,而攻击者们的目标,就是寻找并利用这些漏洞。通过阿里云云盾的大数据平台分析发现,每个开放在互联网上的web应用,每天都会遭受数以千计的web攻击。这些攻击主要可以分为几类:针对全网的工具批量扫描、针对某个用户的工具定向扫描、黑客“肉身”发起的定向渗透攻击。
目前市面上主流的waf产品,基本都是针对IP-URL维度的拦截,当判定一个请求是攻击行为后,仅仅把这个请求进行单次阻断,在攻-防对抗的场景中,防护的一方就显得很被动:用着单一的手段对抗狡猾的攻击者们,而这些攻击者日复一日的在对你的网站进行扫描、攻击,一个黑客一个通宵都在挖掘你网站的漏洞,研究防护策略并尝试绕过。针对这种情况,云盾web应用防火墙推出了恶意IP惩罚功能,当一个IP被识别出正在进行持续的攻击行为时,就会自动封禁被打标的恶意IP。
云盾waf会利用阿里云平台积累的海量恶意IP库和机器学习功能,对发起攻击的IP行为、攻击频率进行学习分析,生成判定规则,当攻击IP被判定是持续攻击行为,就会直接阻断这个IP的所有访问请求。恶意IP惩罚功能开启之后,当遇到扫描器扫描或黑客持续攻击,在很短的时间内就会识别并阻断攻击IP的所有访问行为,极大的增加了攻击的成本。举个简单的例子当我们开启“恶意IP惩罚”功能后,使用黑客工具SQLMAP对网站进行SQL注入扫描,很快就会拦截这个攻击IP的所有请求,阻止攻击者继续攻击。
