阿里云合作伙伴-凯铧互联授权证书 长期稳定·永久朋友·产品专家1对1服务
阿里云购买咨询热线:158-0160-3153(微信同号)

热门文章

阿里云常见售后问题集锦

说明:本站的技术类文章,均为内部学习交流使用,并不能代表产品厂家,或者是第三方的观点,非专业技术类人员,请勿对服务器设备进行操作,以免造成设备不可使用或数据丢失。同时凯铧互联小编建议用户定期对云服务器数据进行备份保存!


北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里云、腾讯云等,作为阿里云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。阿里云优惠购买专线:158-0160-3153(微信同步)

阿里云OSS异常流量排查及防护

发布:凯铧互联


阿里云OSS适用于存储各种类型的静态资源,您将静态资源存放在阿里云OSS中,当阿里云OSS产生大流量的异常流量时,可能是恶意referer盗链或者恶意IP请求访问OSS资源导致的。针对上述情况,本文将向您介绍如何定位排查异常流量以及如何防护。

一、异常流量排查分析

1、如何定位恶意IP访问

分析OSS资源监控数据,查看是否存在恶意IP异常请求OSS资源。查看方法如下:

登录OSS管理控制台,单击您的Bucket名称进入Bucket详情页面,单击热点统计->热点,如下图所示:

阿里云OSS热点统计

您也可以直接分析OSS日志,获取IP访问TOP情况。日志分析可以通过日志分析工具进行,如awk,过滤非CDN回源请求的top ip:
cat rplog-rabbitpre2017-04-20-20-00-00-0001 |awk '{if ($(NF-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20 ;

OSS日志开启请查看设置日志,日志字段说明请查看OSS日志字段说明。

2、定位到恶意IP,如何防护

(1)、如果Bucket为私有权限

建议您迁移数据到新的Bucket中,新的Bucket私有,通过开启waf/高防防护的自定义域名对外服务。如何为Bucket开启WAF/高防防护请查看OSS提供的安全防护功能介绍。

(2)、如果Bucket为公共读权限

可以为Bucket私有对外提供签名URL访问(需要业务端集成签名算法有一定开发成本),Bucket私有可以增加恶意下载的成本。OSS签名URL算法请查看OSS签名URL算法,OSS签名URL实现的php demo请查看OSS签名URLdemo,OSS sdk获取签名URL请查看OSS SDK获取签名URL。

(推荐)或者迁移数据到另外的Bucket中,通过开启waf/高防防护的自定义域名对外服务,如何为Bucket开启WAF/高防防护请查看OSS提供的安全防护功能介绍。

或者迁移数据到另外的Bucket中,再使用自定义域名对外服务,开启CDN加速,利用CDN的IP黑名单进行限制访问,但是CDN IP黑名单存在条数限制。数据迁移请参考OSS importOSS,开启CDN加速请参考CDN加速OSS。

3、如何定位恶意referer访问

分析OSS资源监控数据,查看是否存在恶意referer异常请求OSS资源,查看方法如下:

登录OSS管理控制台,单击您的Bucket名称进入Bucket详情页面,单击热点统计->热点,如下图所示:

阿里云OSS热点统计

您也可以直接分析OSS日志,获取IP访问TOP情况。日志分析可以通过日志分析工具进行,如awk。OSS日志开启请查看设置日志,日志字段说明请查看OSS日志字段说明。

4、定位到恶意referer,如何进行防护

用户可以通过OSS管理控制台或者API的方式对一个Bucket设置referer字段的白名单和是否允许referer字段为空的请求访问。

例如,对于一个名为oss-example的Bucket,设置其referer白名单为http://www.aliyun.com/, 则所有referer为http://www.aliyun.com/的请求才能访问oss-example这个Bucket中的object。具体设置方法请参考:设置OSS防盗链。

OSS防盗链防盗链


二、高防/WAF如何防护OSS资源

1、高防防护OSS

(1)、自定义域名绑定Bucket,无需做cname解析到Bucket域名上,域名绑定请参考:高防防护OSS 域名绑定。

高防防护OSS域名绑定

(2)、自定义域名配置高防,具体操作请参考:高防配置。

高防配置

(3)、在域名服务商那边增加cname 解析,解析到高防提供的cname地址上即可。

cname解析

2、WAF结合OSS使用

(1)、自定义域名绑定Bucket,但无需做cname解析到Bucket域名上,域名绑定请参考: 域名绑定。

域名绑定

(2)、自定义域名配置WAF,请参考:WAF配置。

WAF配置

(3)、在域名服务商那边增加cname解析,解析到WAF提供的cname地址上即可。

cname解析


以上就是关于阿里云OSS异常流量排查及防护的说明。阿里云代理商凯铧互联提供阿里云服务器/企业邮箱等产品的代购服务,同样的品质,更多贴心的服务,更实惠的价格。 阿里云代理商凯铧互联会为您提供一对一专业全面的技术服务,同时还能为您提供阿里云其他产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠!若您需要帮助可以直接联系我方客服,阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7x24技术服务。 电话专线:136-5130-9831,QQ:3398234753。

为什么选择我们:北京凯铧互联科技有限公司(简称凯铧互联)由多名前阿里云资深技术专家创立,核心员工来自阿里云、腾讯云等,作为阿里云,腾讯云百度云,金山云,华为云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承"专业规划、周到服务"的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。