安全篇 Web网站类 CC防护

简介: 大家好,云吞铺子又和大家见面了;我叫枫凡,是技术服务中心的工程师;借这个机会主要和大家分享一下,Web网站应用在受到CC攻击的情况分析以及防护的一些心得。 一键防护 当网站受到CC攻击时,第一优先级为想办法恢复业务;可以尝试直接在Web应用防火墙开启CC安全防护 攻击紧急,需要注意的是,攻击紧急模式适用于网页/H5页面,但不适用于API/Native App业务(会造成大量误杀),针对后面这个情况,我们建议使用CC自定义防护;根据攻击者所攻击的特征配置防护规则。

视频学习

CC防护分析

大家好,云吞铺子又和大家见面了;我叫枫凡,是技术服务中心的工程师;借这个机会主要和大家分享一下,Web网站应用在受到CC攻击的情况分析以及防护的一些心得。

一键防护

当网站受到CC攻击时,第一优先级为想办法恢复业务;可以尝试直接在Web应用防火墙开启CC安全防护 攻击紧急,需要注意的是,攻击紧急模式适用于网页/H5页面,但不适用于API/Native App业务(会造成大量误杀),针对后面这个情况,我们建议使用CC自定义防护;根据攻击者所攻击的特征配置防护规则。
image

CC防护思路

  1. 分析请求日志找出攻击者的特征;
  2. 针对攻击者的特征,使用工具将恶意的请求进行封堵;
在分析日志之前,我们先来看看常见的网站CC攻击一般有哪些特征。
1、攻击的目标URL异常集中;
2、攻击的源IP异常集中;
3、攻击的源IP在某几个IP段或者某几个省;
4、使用相同的Referer或者User-Agent等;

操作实践

有了这些概念,那么我们根据这几个特征去通过分析日志。 我们以这个网站为例:www.xxxx.cn 在如图的这个时间段内,峰值最高打了13W左右的QPS。
image
碰到这个情况,我们根据之前的CC攻击特征;先分析被攻击的URL是哪个?我们这里使用的是自动化的分析工具sls日志服务;

分析日志

使用sls日志服务查询得到结果绝大部分的请求都在访问 //xxx/index.php这个URL,而正常情况下这个URL,不太可能有那么高的访问
92101b6c34000db9dcf95c580980802e0e5665cf
发现了这个攻击特征之后,那么在WAF的控制台上查到CC自定义防护中配置这个路径进行防护。

配置防护

配置如下:URI使用我们通过日志分析出来的路径完全匹配;检测10S,单一源IP访问5次,执行封禁,封禁30分钟;
b857d6c83130d6e166207c80bee0f88c138f3e94
可以理解为,一个源IP在10S内访问超过5次,就触发封禁;這是一个比较严格的策略;这个频率可以根据自己业务的经验进行调整;
当然如果发现防护效果不好,可以初步的设置更加严格的策略。同时也可以选“人机识别”进行防护,人机识别是WAF返回一段特殊的代码给客户端(WAF返回200状态码),判断客户端是否可能正常执行这个代码;如果能够执行则通过验证,然后放行;如果无法执行,这个客户端IP就会加黑对应的时间。如果在网站架构中,WAF前端有高防或者CDN之类的产品,推荐使用人机识别进行防护。

深挖攻击特征

在这个时候网站业务正在慢慢恢复;我们继续分析日志,找到更加精确的攻击特征加以防护,
1.分析客户端IP分布
我们通过分析客户端真实IP地址时,TOP10的IP地址以及地域分布情况如下,看不出明显的异常。
b100445172c241193ae92922ec3064c414198eb7

2.分析user_agent特征
有大量的请求使用到的UA是“"Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.4; en-US; rv:1.9b5) Gecko/2008032619 Firefox/3.0b5”这个UA,看着是一个MAC OS系统下FireFox的浏览器,由于业务是APP类型的;很少会有MAC OS系统下的访问,同时我们对比正常时间段访问记录的user_agent 没有发现 Firefox 字样的user_agent记录;可以判断该user_agent 是异常的;
image
根据这个攻击特征,我们使用WAF的精准访问控制策略对该user_agent进行控制,配置如下,对于包含Firefox进行封禁;阻断的策略
0028e53ad6855599887728b0cbb8c2df29d6b99d


通过这种组合策略的防护策略能够更好保护业务正常对外提供服务。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
2天前
|
SQL 云安全 安全
常见的web漏洞,网站漏洞该怎么办
随着互联网的发展,网站安全成为企业和个人关注焦点,尤其网站漏洞可能导致数据泄露、系统崩溃等严重后果。本文介绍了四种常见网站漏洞:XSS、SQL注入、文件包含和CSRF,以及它们的危害。为解决这些问题,建议加强代码审查、输入验证、使用安全API和库、访问控制等措施。此外,德迅云安全的漏洞扫描VSS服务可在Web漏洞扫描、弱密码扫描和中间件扫描等场景中发挥作用,帮助企业及时发现并处理安全问题,保障网站安全。
|
1天前
|
存储 缓存 前端开发
揭秘Web缓存:提升网站性能与用户体验
揭秘Web缓存:提升网站性能与用户体验
|
2天前
|
XML 云安全 安全
了解常见的web漏洞-XXE漏洞,日常如何做好web安全
随着网络技术的不断发展,网站安全问题日益受到人们的关注。当前随着技术发展,网站存在一些常见的可能被攻击者利用的漏洞,而在众多网站安全漏洞中,XXE(XML External Entity)漏洞是一个不容忽视的问题。今天我们就来分享了解一下关于XXE漏洞的概念、原理以及日常上有哪些可以措施可以防护网站安全。
|
2天前
|
网络协议 关系型数据库 Linux
使用PHPStudy搭建本地web网站并实现任意浏览器公网访问
使用PHPStudy搭建本地web网站并实现任意浏览器公网访问
14 0
|
2天前
|
应用服务中间件 nginx
如何在树莓派部署Nginx并实现无公网ip远程访问内网制作的web网站
如何在树莓派部署Nginx并实现无公网ip远程访问内网制作的web网站
12 0
|
2天前
|
SQL 存储 C#
C# Web控件与数据感应之 TreeView 类
C# Web控件与数据感应之 TreeView 类
|
2天前
|
SQL 存储 Oracle
C# Web控件与数据感应之 CheckBoxList 类
C# Web控件与数据感应之 CheckBoxList 类
|
2天前
|
SQL 存储 Oracle
C# Web控件与数据感应之 Control 类
C# Web控件与数据感应之 Control 类
|
2天前
|
SQL 存储 Oracle
C# Web控件与数据感应之 ListControl 类
C# Web控件与数据感应之 ListControl 类
|
2天前
|
机器学习/深度学习 前端开发 数据可视化
数据分析web可视化神器---streamlit框架,无需懂前端也能搭建出精美的web网站页面
数据分析web可视化神器---streamlit框架,无需懂前端也能搭建出精美的web网站页面

热门文章

最新文章