开发者社区> 觉宇> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

双十一护航团队说:我们是如何防住5亿次Web攻击的?

简介: 11月11日的凌晨1点多左右,阿里云安全护航团队接到一个用户非常着急的工单需求,称其大促页面非常不稳定,“快打不开了“……
+关注继续查看


11月11日的凌晨1点多左右,阿里云安全护航团队接到一个用户非常着急的工单需求,称其大促页面非常不稳定,“快打不开了“……


阿里云护航专家团队通过日志分析,发现了疑似CC攻击的特征。在10秒内开始响应和处置。配合云上Web应用防火墙的能力,最终在3-5分钟之内,将多次变着花样来的CC攻击瓦解,让网站最终回复了稳定。


640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=

 

这是双十一当天,阿里云安全护航团队所接触到的一个典型攻击。而这样被阿里云云盾WAF成功防御下来的Web攻击,在双十一当天有5亿次,误报、漏报率为0。

 

除了WAF,阿里云的双十一护航团队还包括抗DDoS、业务安全、和内容安全等上百位安全专家,为天猫、淘宝,和云上的物流、电商等用户,提供安全应急和技术支持。“我们有百人团队,但也有成千上百的用户需要同时监控,并且每一个都不能出错。分摊到每一个人身上,压力是非常大的”,阿里云安全护航团队的小扬介绍。


 

挂在双十一“大门口”的WAF,到底防了什么?


 

Web攻击,数据爬取,暴力破解和撞库是WAF防御的重点。

 

Web攻击:攻击者通过发起大量的SQL注入攻击请求,尝试寻找网站的注入点,通过注入点窃取数据库数据,例如用户订单、收货地址、手机号码等信息。这些web攻击如果不是有WAF拦截,很可能会造成用户订单等敏感歇息泄漏,对商家造成成本、声誉和时间上的损失。

 

数据爬取:恶意爬虫可爬取大量网站数据,可能会包含敏感数据,造成信息泄露。

 

暴力破解和撞库:对于物流信息查询、用户登录等入口的暴力破解和撞库攻击,技术上已经非常成熟,可能造成大量敏感物流信息、用户个人信息泄露。

 

“每一次攻击平静下来之后,其实我们也是备战状态。有的CC攻击、暴力破解和撞库,会持续好几波,手法也会变样子,随时需要警惕。每当处理这样的攻击时,都被用户‘往死里催’,我们也非常理解用户的急切。但做安全护航,我们自己首先需要保持平静,这就和医生面对患者家属一样。一是因为我们知道,与其不断地去安慰用户,不如在最快的时间内解决问题,攻击搞定了才是根本。二是因为,每次大促我们面对的是上千用户,上亿次攻击,我们有足够的经验帮他们平安度过危机。”小扬补充。


 

光防御Web攻击不够,还要能防“抢红包”

 

目前,大部分的Web应用防火墙都还是用于防护常见的SQL注入、命令执行、CC等通用型攻击。但随着互联网业务时代的发展趋势,暴力登陆、撞库、垃圾注册、薅羊毛、恶意抢红包、恶意注册……等一系列更贴近业务层面的安全问题逐渐暴露凸出。而这些,传统的Web应用防火墙都还未涉入。



 

eb4b922de43ccde1d3d2116cda4835600e4a66d5


阿里云WAF在传统Web应用防火墙功能基础上,创新实现了数据风控引擎,可以解决双十一、双十二等大型活动期间的恶意抢红包、撞库、薅羊毛、恶意扫描等业务安全问题。


WAF在源站回应中注入风控采集脚本,用于采集用户设备指纹以及hook用户设置的需要防护的页面。当浏览器访问防护页面时,风控脚本会将设备指纹等信息加密后作为参数附加到请求中去。而WAF收到访问防护页面请求时,将风控参数提取解密后进行风险判定,如果无风险,放行该请求;如果判定有风险,WAF会拦截并返回滑动验证页面。整个交互流程如下图:


b0e52647b140c791cc77ba109d8197c53dd73e21

通过数据风控引擎,阿里云云盾WAF可以做到人机识别,在低频CC攻击、活动薅羊毛、刷短信验证接口、CSRF、恶意爬取等场景有着非常好的效果。


在业务风控这方面,如果没有云上的安全情报,企业自己‘搞定’薅羊毛、抢红包等业务安全问题,成本相对较大。另外,在双十一、双十二这样的活动中,公司会把主要技术经理投放在业务上,也会出现无暇顾及的情况。在这种情况下,阿里云护航团队的技术支持就尤其重要了。

 

小扬说:“公司如果要自己做好业务风控的话,首先需要有专业的安全团队对业务做定制化的分析。比如防止抢红包,要知道人家‘怎么抢’——是利用了Web漏洞?还是业务逻辑漏洞?又或者是用了作弊软件,模拟真人行为去抢。而每次活动手法又不一样,光是业务分析流程下来,耗时就很多了。所以光靠企业自己去做业务风控,在实现上有一定成本。而云上的威胁情报是实时更新的,我们根据各种抢红包的作案手法,总结出‘套路',能够做到快速响应,对症下药。我们一般会在每个公司活动开始前一天晚上,先做一些防护预演,把策略备好,等活动开始的时候,就可以持续监测,随时应急了。”


 

未来的Web防护技术

 

未来,也许有更多的安全厂商和CSP,会将WAF和业务风控相结合,让网络防御,更贴近实际的业务场景。这一点上,阿里云云盾WAF‘先行一步’——它颠覆了传统风控需要用户开发、调试、发布代码的模式,通过Web应用防火墙天然的全流量接管能力优势,无需用户修改源码即可直接使用,无疑给客户带来了全所未有的用户体验。


而借助业务数据风控的人机识别以及拦截验证能力,可以作为云盾WAF的一道防线。未来,云盾WAF可以通过业务数据风控服务采集到的数据,识别用户身份、评估用户信誉,对用户进行更细粒度的画像。


购买阿里云云盾Web应用防火墙:

https://cn.aliyun.com/product/waf?spm=5176.8142029.388261.114.uVb63y


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
基于lightgbm的Web攻击检测与分类识别
基于lightgbm的Web攻击检测与分类识别
0 0
💣深入Web安全(攻击篇)
💣深入Web安全(攻击篇)
0 0
新型 Linux 僵尸网络变种“EnemyBot”现身!利用 Web 服务器、Android 及 CMS 漏洞进行攻击
新型 Linux 僵尸网络变种“EnemyBot”现身!利用 Web 服务器、Android 及 CMS 漏洞进行攻击
0 0
web安全攻击方法流量分析
web安全攻击方法流量分析
0 0
常见的Web攻击手段,拿捏了!
本文主要介绍 互联网中常见的 Web 攻击手段
0 0
ADI
[记录] web安全之XSS攻击
[记录] web安全之XSS攻击
0 0
Web前端安全策略之CSRF的攻击与防御
接着上一篇文章,本篇文章我们继续来讲解前端如何处理网站的安全问题,本文主要讲解跨站请求伪造(CSRF)。 没看过之前的文章的小伙伴,可以先看一下,这里放一个链接——Web前端安全策略之XSS的攻击与防御
0 0
Web前端安全策略之XSS的攻击与防御(上)
随着技术的发展,前端早已不是只做页面的展示了, 同时还需要做安全方面的处理,毕竟网站上很多数据会涉及到用户的隐私。若是没有些安全策略, 很容易被别人通过某些操作,获取到一些用户隐私信息,那么用户数据隐私就无法得到保障。对于前端方面的安全策略你又知道多少呢?接下来我们来介绍一下~ 本文先讲前两个,之后再讲最后一个
0 0
WEB攻击手段及防御-扩展篇
之前的文章介绍了常见的XSS攻击、SQL注入、CSRF攻击等攻击方式和防御手段,没有看的去翻看之前的文章,这些都是针对代码或系统本身发生的攻击,另外还有一些攻击方式发生在网络层或者潜在的攻击漏洞在这里也总结一下。
0 0
+关注
文章
问答
来源圈子
更多
让上云更放心,让云上更安全。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
边缘安全,让Web加速有保障
立即下载
使用CNFS搭建弹性Web服务
立即下载
WEB框架0day漏洞的发掘及分析经验分享
立即下载