全部產品
Search
文件中心

:OSS被攻擊惡意刷流量出現異常流量的排查方法

更新時間:Feb 28, 2024

概述

OSS被攻擊惡意刷流量,出現大量的異常流量時,可能是由於惡意Referer盜鏈或者惡意IP請求訪問OSS資源導致的。針對該情況,本文主要介紹OSS存在異常流量的排查方法。

詳細資料

您可以排查並分析異常流量。異常流量主要分為惡意IP訪問和惡意Referer訪問,詳情如下:

惡意IP訪問

  1. 定位惡意IP。

    • 方式一:OSS管理主控台的熱點統計資料

    • 通過Object Storage Service管理主控台的熱點統計資料,進行惡意IP定位,詳情請參見用量查詢

      1. 登入OSS管理主控台,在左側導覽列中單擊Bucket列表,選擇目標Bucket的名稱進入Bucket概覽頁面。

      2. 在左側導覽列,選擇用量查詢>熱點統計,切換到熱點Refer/IP標籤頁。

      3. 查看IP(TOP 10)列表,結合業務的實際情況判斷這些IP對應的錯誤訪問次數流量以及PV是否正常。

    • 方式二:Bucket的訪問日誌

      您可以通過查看OSS的日誌記錄,根據查詢結果針對惡意請求的IP進行封鎖。您可通過以下兩種方法查看Bucket的訪問日誌:

      • 訪問日誌儲存:此方法需要Bucket已經開啟OSS訪問日誌,詳情請參見開啟OSS訪問日誌。通過日誌分析工具分析Bucket的訪問日誌,例如使用awk命令過濾非CDN回源請求的Top IP地址,樣本命令如下。最終判斷Top IP是否為惡意IP。

        cat mylog-oss-example2017-09-10-04-00-00-0000 |awk '{if ($(NF-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20
        說明

        OSS日誌各欄位說明請參見訪問日誌儲存

      • 即時日誌查詢:OSS即時日誌是可以免費查看七天內OSS的日誌記錄,可通過查看即時日誌,過濾非CDN回源請求的Top IP地址。

  2. 根據Bucket許可權進行防護。

    • Bucket為私人許可權:建議遷移資料到新的Bucket中,詳情請參見遷移資料,新Bucket的存取權限也應該為私人,通過高防IP或者WAF防護的自訂網域名對外提供服務,詳情請參見自訂網域名

    • Bucket為公用讀取許可權:建議選擇下列一種防護方法。

      • 將Bucket存取權限改為私人,通過簽名後的URL對外提供服務。私人Bucket可以增加惡意下載的成本,但是也需要業務端整合簽名演算法,詳情請參見整合簽名演算法,因此會產生一定的開發成本。

      • (推薦)遷移資料到新的Bucket中,詳情請參見遷移資料,通過高防IP或者WAF防護的自訂網域名對外提供服務,詳情請參見自訂網域名

      • 遷移資料到新的Bucket中,使用自訂網域名對外提供服務,同時開啟CDN加速,利用CDN的IP黑名單進行限制訪問。詳情請參見IP黑名單

        說明

        CDN的IP黑名單存在數量限制。

惡意Referer訪問

  1. 定位惡意Refere。

    • 方式一:OSS管理主控台的熱點統計資料

      1. 登入OSS管理主控台,在左側導覽列中單擊Bucket列表,選擇目標Bucket的名稱進入Bucket概覽頁面。

      2. 在左側導覽列,選擇用量查詢>熱點統計,切換到熱點Refer/IP標籤頁。

      3. 查看Referer(TOP 10)列表,結合業務的實際情況判斷Referer對應的訪問次數是否正常。

    • 方式二:Bucket的訪問日誌

      可以開啟OSS的即時日誌,根據查詢結果針對惡意Referer進行封鎖。您可通過以下兩種方法查看Bucket的訪問日誌:

      • 訪問日誌儲存:此方法需要Bucket已經開啟OSS訪問日誌,詳情請參見開啟OSS訪問日誌。通過日誌分析工具分析Bucket的訪問日誌,例如使用awk命令過濾Top Referer,判斷其是否為惡意Referer。

        說明

        OSS日誌各欄位說明請參見訪問日誌儲存

      • 即時日誌查詢:OSS即時日誌是可以免費查看七天內OSS的日誌記錄,可通過查看即時日誌,過濾非CDN回源請求的Top IP地址。

  2. 設定防盜鏈。

    您可以通過OSS管理主控台或者API的方式設定Bucket的防盜鏈進行防護,詳情請參見防盜鏈

相關文檔

當您的OSS Bucket遭受攻擊出現異常流量時,請參見如何防止OSS被攻擊惡意刷流量導致Bucket切入沙箱,添加安全防護措施。