OSS异常流量排查及防护-阿里云开发者社区

开发者社区> 何昔> 正文

OSS异常流量排查及防护

简介: OSS适用于存储各类型的静态资源,较多的用户将静态资源存储在OSS上。当OSS产生大流量的异常流量要如何进行定位分析,OSS恶意访问可能是恶意referer盗链使用或者恶意IP恶意请求访问OSS资源导致的,本文对上述内容进行了介绍;
+关注继续查看

一、异常流量排查分析

1.如何定位恶意IP访问

分析oss资源监控数据,看看是否存在恶意IP异常请求OSS资源,资源监控路径:控制台—OSS—具体bucket—热点统计—TOP IP
1

或者直接分析OSS日志,获取得到IP访问TOP情况,日志分析可以通过日志分析工具进行,如awk,过滤非cdn 回源请求的top ip :cat rplog-rabbitpre2017-04-20-20-00-00-0001 |awk '{if ($(NF-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20 ;
OSS日志开启看: OSS日志开启
日志字段说明:OSS日志字段说明

2.定位到恶意IP,如何防护

[1] 如果bucket私有
1] 建议迁移数据到新的bucket中,新的bucket私有,通过开启waf/高防 防护的自定义域名对外服务,如何为bucket开启WAF/高防防护看《二、高防/WAF如何防护OSS资源》

[2] 如果bucket公共读
1] 可以bucket私有对外提供签名URL访问(需要业务端集成签名算法有一定开发成本),bucket私有可以增加恶意下载的成本;
OSS签名URL算法:OSS签名URL算法
OSS签名URL实现的php demo 看:OSS签名URLdemo
OSS sdk 获取签名URL看:OSS SDK获取签名URL
2] 或者迁移数据到另外的bucket中,通过开启waf/高防防护的自定义域名对外服务,如何为bucket开启WAF/高防防护看《二、高防/WAF如何防护OSS资源》(推荐);

3] 或者迁移数据到另外的bucket中,再使用自定义域名对外服务,开启CDN加速,利用CDN的 IP黑名单 进行限制访问,CDN IP黑名单存在条数限制;
数据迁移参考;OSS import
OSS 开启CDN加速:CDN加速OSS

3. 如何定位恶意referer访问

分析oss资源监控数据,看看是否存在恶意referer异常请求OSS资源,资源监控路径:控制台—OSS—具体bucket—热点统计—refer
2

或者直接分析OSS日志,获取得到refer访问TOP情况,日志分析可以通过日志分析工具进行,如awk等
OSS日志开启看: OSS日志开启
日志字段说明:OSS日志字段说明

4. 定位到恶意referer,如何进行防护

用户可以通过OSS管理控制台或者API的方式对一个Bucket设置referer字段的白名单和是否允许referer字段为空的请求访问。例如,对于一个名为oss-example的Bucket,设置其referer白名单为http://www.aliyun.com/ 。 则所有referer为http://www.aliyun.com/ 的请求才能访问oss-example这个Bucket中的Object。
控制台——OSS——具体bucket——基础设置中进行referer设置referer加白需求的域名,恶意referer域名不进行加白,那么恶意referer就不能正常访问对应的OSS资源了的。
3

二、高防/WAF如何防护OSS资源

1.高防防护OSS

1) 自定义域名绑定bucket,但无需做cname 解析到bucket域名上,域名绑定可以参考: 域名绑定
4

2) 自定义域名配置高防:高防配置
5

3) 在域名服务商那边增加cname 解析,解析到高防提供的cname 地址上即可
6

通过http://dcgf.pier39.cn/objectname 来高防防护OSS的资源

2.WAF结合OSS使用

1) 自定义域名绑定bucket,但无需做cname 解析到bucket域名上,域名绑定可以参考: 自定义域名绑定
7

2) 自定义域名配置WAF ,参考:WAF配置
8

3) 在域名服务商那边增加cname 解析,解析到WAF提供的cname地址上
9

通过http://dcgf.pier39.cn/objectname 来WAF防护OSS的资源

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【OSS 排查方案-7】ossimport 大数据量迁移方案总结
背景: 面临客户不断的将友商的存储数量迁移到阿里云上。ossimport 工具越来越多的暴露在用户端,但是合理的利用 ossimport 工具以及良好的迁移架构数据能否帮助用户高效的快速迁移。但是如果对 ossimport 不熟知,而且迁移架构没有经过测试,反而会降低我们的迁移效率,影响客户的全面战略上云计划安排。
13329 0
OSS异常流量排查及防护
OSS适用于存储各类型的静态资源,较多的用户将静态资源存储在OSS上。当OSS产生大流量的异常流量要如何进行定位分析,OSS恶意访问可能是恶意referer盗链使用或者恶意IP恶意请求访问OSS资源导致的,本文对上述内容进行了介绍;
5446 0
故障排查:是什么 导致了客户端批量心跳超时掉线(转)
故障排查:是什么 导致了客户端批量心跳超时掉线心跳超时指的是:针对某个在线的客户端(TCP连接),ESFramework服务端在指定的时间内,没有收到来自该客户端的任何消息,则认为该客户端已经掉线。
1058 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4478 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7751 0
OSS 可用性诊断排查
本文主要介绍遇到 OSS 可用性异常的排查方法
1663 0
[ssh ][异常]The type org.springframework.dao.support.DaoSupport cannot be resolved........
<p>写spring的时候,使用SqlMapClientDaoSupport,结果报出异常:</p> <p><span style="font-size:16px"><strong><span style="color:#333399">The type org.springframework.dao.support.DaoSupport cannot be resolved. It i
1960 0
+关注
何昔
对OSS、CDN、MTS音视频等有一定认知
15
文章
0
问答
来源圈子
更多
作为全球云计算的领先者,阿里云为全球230万企业提供着云计算服务,服务范围覆盖200多个国家和地区。我们致力于为企业、政府等组织机构提供安全可靠的云计算服务,给用户带来极速愉悦的服务体验。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载