概述
OSS被攻擊惡意刷流量,出現大量的異常流量時,可能是由於惡意Referer盜鏈或者惡意IP請求訪問OSS資源導致的。針對該情況,本文主要介紹OSS存在異常流量的排查方法。
詳細資料
您可以排查並分析異常流量。異常流量主要分為惡意IP訪問和惡意Referer訪問,詳情如下:
惡意IP訪問
定位惡意IP。
方式一:OSS管理主控台的熱點統計資料
登入OSS管理主控台,在左側導覽列中單擊Bucket列表,選擇目標Bucket的名稱進入Bucket概覽頁面。
在左側導覽列,選擇用量查詢>熱點統計,切換到熱點Refer/IP標籤頁。
查看IP(TOP 10)列表,結合業務的實際情況判斷這些IP對應的錯誤訪問次數、流量以及PV是否正常。
方式二:Bucket的訪問日誌
您可以通過查看OSS的日誌記錄,根據查詢結果針對惡意請求的IP進行封鎖。您可通過以下兩種方法查看Bucket的訪問日誌:
訪問日誌儲存:此方法需要Bucket已經開啟OSS訪問日誌,詳情請參見開啟OSS訪問日誌。通過日誌分析工具分析Bucket的訪問日誌,例如使用
awk
命令過濾非CDN回源請求的Top IP地址,樣本命令如下。最終判斷Top IP是否為惡意IP。cat mylog-oss-example2017-09-10-04-00-00-0000 |awk '{if ($(NF-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20
說明OSS日誌各欄位說明請參見訪問日誌儲存。
即時日誌查詢:OSS即時日誌是可以免費查看七天內OSS的日誌記錄,可通過查看即時日誌,過濾非CDN回源請求的Top IP地址。
通過Object Storage Service管理主控台的熱點統計資料,進行惡意IP定位,詳情請參見用量查詢。
根據Bucket許可權進行防護。
惡意Referer訪問
相關文檔
當您的OSS Bucket遭受攻擊出現異常流量時,請參見如何防止OSS被攻擊惡意刷流量導致Bucket切入沙箱,添加安全防護措施。