OSS异常流量排查及防护

简介: OSS适用于存储各类型的静态资源,较多的用户将静态资源存储在OSS上。当OSS产生大流量的异常流量要如何进行定位分析,OSS恶意访问可能是恶意referer盗链使用或者恶意IP恶意请求访问OSS资源导致的,本文对上述内容进行了介绍;
+关注继续查看

一、异常流量排查分析

1.如何定位恶意IP访问

分析oss资源监控数据,看看是否存在恶意IP异常请求OSS资源,资源监控路径:控制台—OSS—具体bucket—热点统计—TOP IP
1

或者直接分析OSS日志,获取得到IP访问TOP情况,日志分析可以通过日志分析工具进行,如awk,过滤非cdn 回源请求的top ip :cat rplog-rabbitpre2017-04-20-20-00-00-0001 |awk '{if ($(NF-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20 ;
OSS日志开启看: OSS日志开启
日志字段说明:OSS日志字段说明

2.定位到恶意IP,如何防护

[1] 如果bucket私有
1] 建议迁移数据到新的bucket中,新的bucket私有,通过开启waf/高防 防护的自定义域名对外服务,如何为bucket开启WAF/高防防护看《二、高防/WAF如何防护OSS资源》

[2] 如果bucket公共读
1] 可以bucket私有对外提供签名URL访问(需要业务端集成签名算法有一定开发成本),bucket私有可以增加恶意下载的成本;
OSS签名URL算法:OSS签名URL算法
OSS签名URL实现的php demo 看:OSS签名URLdemo
OSS sdk 获取签名URL看:OSS SDK获取签名URL
2] 或者迁移数据到另外的bucket中,通过开启waf/高防防护的自定义域名对外服务,如何为bucket开启WAF/高防防护看《二、高防/WAF如何防护OSS资源》(推荐);

3] 或者迁移数据到另外的bucket中,再使用自定义域名对外服务,开启CDN加速,利用CDN的 IP黑名单 进行限制访问,CDN IP黑名单存在条数限制;
数据迁移参考;OSS import
OSS 开启CDN加速:CDN加速OSS

3. 如何定位恶意referer访问

分析oss资源监控数据,看看是否存在恶意referer异常请求OSS资源,资源监控路径:控制台—OSS—具体bucket—热点统计—refer
2

或者直接分析OSS日志,获取得到refer访问TOP情况,日志分析可以通过日志分析工具进行,如awk等
OSS日志开启看: OSS日志开启
日志字段说明:OSS日志字段说明

4. 定位到恶意referer,如何进行防护

用户可以通过OSS管理控制台或者API的方式对一个Bucket设置referer字段的白名单和是否允许referer字段为空的请求访问。例如,对于一个名为oss-example的Bucket,设置其referer白名单为http://www.aliyun.com/ 。 则所有referer为http://www.aliyun.com/ 的请求才能访问oss-example这个Bucket中的Object。
控制台——OSS——具体bucket——基础设置中进行referer设置referer加白需求的域名,恶意referer域名不进行加白,那么恶意referer就不能正常访问对应的OSS资源了的。
3

二、高防/WAF如何防护OSS资源

1.高防防护OSS

1) 自定义域名绑定bucket,但无需做cname 解析到bucket域名上,域名绑定可以参考: 域名绑定
4

2) 自定义域名配置高防:高防配置
5

3) 在域名服务商那边增加cname 解析,解析到高防提供的cname 地址上即可
6

通过http://dcgf.pier39.cn/objectname 来高防防护OSS的资源

2.WAF结合OSS使用

1) 自定义域名绑定bucket,但无需做cname 解析到bucket域名上,域名绑定可以参考: 自定义域名绑定
7

2) 自定义域名配置WAF ,参考:WAF配置
8

3) 在域名服务商那边增加cname 解析,解析到WAF提供的cname地址上
9

通过http://dcgf.pier39.cn/objectname 来WAF防护OSS的资源

相关实践学习
借助OSS搭建在线教育视频课程分享网站
本教程介绍如何基于云服务器ECS和对象存储OSS,搭建一个在线教育视频课程分享网站。
目录
相关文章
|
2月前
|
存储 数据管理 数据处理
阿里云oss流量费用是怎么算的?
阿里云oss流量费用是怎么算的?OSS回源下行流量包价格,OSS流量包100G 49元/月
817 0
|
10月前
|
移动开发 JSON JavaScript
阿里云OSS PostObject错误及排查详细版本
PostObject使用表单上传文件到OSS。PostObject的消息实体通过 多重表单格式multipart/form-data 编码,详细说明请参看 RFC 2388。Put Object中参数通过HTTP请求头传递,Post Object参数则作为消息体的表单域传递。
|
存储 对象存储 CDN
【对象存储OSS/网络分发加速CDN】使用OSS后,如何实现流量访问限制或请求次数的限制
描述使用对象存储OSS后,如何实现流量访问限制或请求次数的限制
1608 2
|
存储 弹性计算 网络安全
|
存储 弹性计算 网络安全
阿里云对象存储OSS存放视频费用说明(存储费+流量费)
使用阿里云OSS存储视频会产生存储费用,使用公网观看视频会产生流量,阿小云来详细说下阿里云对象存储OSS存放视频费用说明(存储费+流量费)
2242 0
|
存储 弹性计算 安全
OSS 可用性诊断排查
本文主要介绍遇到 OSS 可用性异常的排查方法
3136 0
|
存储 缓存 弹性计算
OSS 限流诊断排查
本文主要介绍遇到 OSS 限流的排查方法
2206 0
|
存储 监控 算法
OSS异常流量排查及防护
OSS适用于存储各种类型的静态资源。您在OSS中存储静态资源。当OSS生成流量大的异常流量时,可能是恶意引用黑客攻击或请求访问OSS资源的恶意IP引起的。针对上述情况,本文将向您展示如何定位异常流量以及如何保护流量。
1297 0
OSS异常流量排查及防护
|
API 对象存储
【OSS 排查方案-10 请求 OSS 返回 404】
什么是 404 404 标准的 http code 状态码,代表用户请求的资源在服务端不存在, 404 并不是一个异常状态码?而是一个正常的响应。换句话说 404 已经成为了一个结果,这种响应常见在 client 端下载 OSS 的资源时出现。
【OSS 排查方案-10 请求 OSS 返回 404】
|
编解码 对象存储 索引
【OSS 排查方案-12 livechannel 直播推流】
OSS livechannel 推流过程 生成推流 URL设置推流状态 录制 M3u8 缺失 默认录制成品的 m3u8 所以只有最后 3 片,遵循的是 hls 协议的默认规则,是正常想象,可以通过调用 PostVodPlaylist 接口将指定时间范围内的 ts 文件汇聚到一个 m3u8 索引内来解决; tips EndTime 必须大于 StartTime,且时间跨度不能大于 1 天。
【OSS 排查方案-12 livechannel 直播推流】
热门文章
最新文章
推荐文章
更多