双十一护航团队说：我们是如何防住5亿次Web攻击的？

11月11日的凌晨1点多左右，阿里云安全护航团队接到一个用户非常着急的工单需求，称其大促页面非常不稳定，“快打不开了“……

阿里云护航专家团队通过日志分析，发现了疑似CC攻击的特征。在10秒内开始响应和处置。配合云上Web应用防火墙的能力，最终在3-5分钟之内，将多次变着花样来的CC攻击瓦解，让网站最终回复了稳定。

这是双十一当天，阿里云安全护航团队所接触到的一个典型攻击。而这样被阿里云云盾WAF成功防御下来的Web攻击，在双十一当天有5亿次，误报、漏报率为0。

除了WAF，阿里云的双十一护航团队还包括抗DDoS、业务安全、和内容安全等上百位安全专家，为天猫、淘宝，和云上的物流、电商等用户，提供安全应急和技术支持。“我们有百人团队，但也有成千上百的用户需要同时监控，并且每一个都不能出错。分摊到每一个人身上，压力是非常大的”，阿里云安全护航团队的小扬介绍。

挂在双十一“大门口”的WAF，到底防了什么？

Web攻击，数据爬取，暴力破解和撞库是WAF防御的重点。

Web攻击：攻击者通过发起大量的SQL注入攻击请求，尝试寻找网站的注入点，通过注入点窃取数据库数据，例如用户订单、收货地址、手机号码等信息。这些web攻击如果不是有WAF拦截，很可能会造成用户订单等敏感歇息泄漏，对商家造成成本、声誉和时间上的损失。

数据爬取：恶意爬虫可爬取大量网站数据，可能会包含敏感数据，造成信息泄露。

暴力破解和撞库：对于物流信息查询、用户登录等入口的暴力破解和撞库攻击，技术上已经非常成熟，可能造成大量敏感物流信息、用户个人信息泄露。

“每一次攻击平静下来之后，其实我们也是备战状态。有的CC攻击、暴力破解和撞库，会持续好几波，手法也会变样子，随时需要警惕。每当处理这样的攻击时，都被用户‘往死里催’，我们也非常理解用户的急切。但做安全护航，我们自己首先需要保持平静，这就和医生面对患者家属一样。一是因为我们知道，与其不断地去安慰用户，不如在最快的时间内解决问题，攻击搞定了才是根本。二是因为，每次大促我们面对的是上千用户，上亿次攻击，我们有足够的经验帮他们平安度过危机。”小扬补充。

光防御Web攻击不够，还要能防“抢红包”

目前，大部分的Web应用防火墙都还是用于防护常见的SQL注入、命令执行、CC等通用型攻击。但随着互联网业务时代的发展趋势，暴力登陆、撞库、垃圾注册、薅羊毛、恶意抢红包、恶意注册……等一系列更贴近业务层面的安全问题逐渐暴露凸出。而这些，传统的Web应用防火墙都还未涉入。

阿里云WAF在传统Web应用防火墙功能基础上，创新实现了数据风控引擎，可以解决双十一、双十二等大型活动期间的恶意抢红包、撞库、薅羊毛、恶意扫描等业务安全问题。

WAF在源站回应中注入风控采集脚本，用于采集用户设备指纹以及hook用户设置的需要防护的页面。当浏览器访问防护页面时，风控脚本会将设备指纹等信息加密后作为参数附加到请求中去。而WAF收到访问防护页面请求时，将风控参数提取解密后进行风险判定，如果无风险，放行该请求；如果判定有风险，WAF会拦截并返回滑动验证页面。整个交互流程如下图：

通过数据风控引擎，阿里云云盾WAF可以做到人机识别，在低频CC攻击、活动薅羊毛、刷短信验证接口、CSRF、恶意爬取等场景有着非常好的效果。

在业务风控这方面，如果没有云上的安全情报，企业自己‘搞定’薅羊毛、抢红包等业务安全问题，成本相对较大。另外，在双十一、双十二这样的活动中，公司会把主要技术经理投放在业务上，也会出现无暇顾及的情况。在这种情况下，阿里云护航团队的技术支持就尤其重要了。

小扬说：“公司如果要自己做好业务风控的话，首先需要有专业的安全团队对业务做定制化的分析。比如防止抢红包，要知道人家‘怎么抢’——是利用了Web漏洞？还是业务逻辑漏洞？又或者是用了作弊软件，模拟真人行为去抢。而每次活动手法又不一样，光是业务分析流程下来，耗时就很多了。所以光靠企业自己去做业务风控，在实现上有一定成本。而云上的威胁情报是实时更新的，我们根据各种抢红包的作案手法，总结出‘套路'，能够做到快速响应，对症下药。我们一般会在每个公司活动开始前一天晚上，先做一些防护预演，把策略备好，等活动开始的时候，就可以持续监测，随时应急了。”

未来的Web防护技术

未来，也许有更多的安全厂商和CSP，会将WAF和业务风控相结合，让网络防御，更贴近实际的业务场景。这一点上，阿里云云盾WAF‘先行一步’——它颠覆了传统风控需要用户开发、调试、发布代码的模式，通过Web应用防火墙天然的全流量接管能力优势，无需用户修改源码即可直接使用，无疑给客户带来了全所未有的用户体验。

而借助业务数据风控的人机识别以及拦截验证能力，可以作为云盾WAF的一道防线。未来，云盾WAF可以通过业务数据风控服务采集到的数据，识别用户身份、评估用户信誉，对用户进行更细粒度的画像。

购买阿里云云盾Web应用防火墙：

https://cn.aliyun.com/product/waf?spm=5176.8142029.388261.114.uVb63y