OSS适用于存储各种类型的静态资源。您在OSS中存储静态资源。当OSS生成流量大的异常流量时,可能是恶意引用黑客攻击或请求访问OSS资源的恶意IP引起的。针对上述情况,本文将向您展示如何定位异常流量以及如何保护流量。
异常流量故障排除分析如何定位恶意IP访问
分析OSS资源监视数据以查看是否存在请求OSS资源的恶意IP异常。查看方法如下:
登录OSS管理控制台,单击您的存储桶名称进入存储桶详细信息页面,然后单击热点统计 – >热点,如下所示:
您还可以直接分析OSS日志以获取IP访问TOP。可以通过日志分析工具(例如awk)执行日志分析,以过滤非CDN源请求的最高IP:
Cat rplog-rabbitpre2017-04-20-20-00-00-0001 | awk'{if($(NF-1)〜/ – /)print $ 1}’| sort | uniq -c | sort -nr -k 1 | head -20;
OSS日志已启用。请检查设置日志。有关日志字段说明,请参阅OSS日志字段说明。
针对恶意IP,如何保护
如果Bucket为私有权限
建议您将数据迁移到新存储桶,新存储桶是私有的,并通过打开waf/high-defense自定义域名来打开外部域名。如何为桶启用WAF /高保护请检查OSS提供的安全保护功能。
如果Bucket为公共读权限
它可以私下为Bucket提供签名URL访问。 (业务端集成签名算法存在一定的开发成本。)私有桶可能会增加恶意下载的成本。对于OSS签名URL算法,请检查OSS签名URL算法。对于OSS签名URL的php演示,请检查OSS签名URLdemo。要使OSS sdk获取签名URL,请检查OSS SDK以获取签名URL。
(推荐)或将数据迁移到另一个存储桶。打开外部服务的waf/high-defense自定义域名。如何为水桶启用WAF /高防御保护?请参考OSS提供的安全保护功能。
或者将数据迁移到另一个存储桶,然后使用自定义域名进行外部服务,启用CDN加速,并使用CDN的IP黑名单来限制访问,但CDN IP黑名单的数量有限制。有关数据迁移,请参阅OSS importOSS。要启用CDN加速,请参阅CDN以加速OSS。
如何查找恶意引用者访问
分析OSS资源监视数据以查看是否存在请求OSS资源的恶意引用异常,查看方法如下:
登录OSS管理控制台,单击您的存储桶名称进入存储桶详细信息页面,然后单击热点统计 – >热点,如下所示:
您还可以直接分析OSS日志以获取IP访问TOP。日志分析可以通过日志分析工具(如awk)完成。 OSS日志已启用。请检查设置日志。有关日志字段说明,请参阅OSS日志字段说明。
针对恶意引用者,如何保护
用户可以通过OSS管理控制台或API将referer字段的白名单和referer字段的请求访问设置为空。
例如,对于名为oss-example的存储桶,将其引用白名单设置为http://www.aliyun.com/,然后所有具有
http://www.aliyun.com/
的引用可以访问oss示例存储桶中的对象。有关详细信息,请参阅:设置防盗链。
如何防止高防御/WAF OSS资源对抗高保护OSS
自定义域名绑定到存储桶。您不需要对存储区域名执行cname解析。对于域名绑定,请参阅:域名绑定。
自定义域名的配置很高。有关详细信息,请参阅高防配置。
将cname解析添加到域名服务提供程序并将其解析为高防御提供的cname地址。
WAF使用
与OSS结合使用
自定义域名绑定到存储桶,但您不需要对存储桶域名执行cname解析。对于域名绑定,请参阅:域名绑定。
自定义域名配置WAF,请参考:WAF配置。
将cname解析添加到域名服务提供商,并将其解析为WAF提供的cname地址。