3.2 当网站遭受流量盗刷怎么办原创

大家好，欢迎大家来到腾讯云开发者社区，腾讯云hone团队共同打造的h one一站式玩转网站加速与防护实战营的第三章第二节。我是腾讯云产品经理马乐新，今天我们来讲解在网站遭受盗刷攻击时，如何使用I one进行预防、排查和应对。首先是背景介绍。让我们了解什么是CDN盗刷。CDN是内容分发网络的缩写，它就像是互联网世界的高速公路系统，帮助网站内容更快的传递到用户手中。想象一下，如果没有这个系统，访问一个网站就像是从一个遥远的仓库慢慢运送货物到你家，而有了CDN，就好比在你家附近设立了多个分仓，大大加快了送货速度。那什么是CDN盗刷呢？简单来说，CDN盗刷就是有人非法使用这个快速运输系统，大量消耗资源，给网站运营者造成高额账单。

CDN盗刷与我们常听说的地道S攻击有所不同，DDOS攻击就像是恶意堵塞所有道路，直接导致网站无法访问。而CDN盗刷更像是有人不断在高速公路上来回奔跑，虽然道路还可以通行，但会大大增加维护成本。CDN盗刷的危害主要体现在以下三个方面。首先是带宽消耗。网站的带宽资源将被大量消耗。其次是服务器压力。由于需要处理大量请求，就像收费站不得不加班加点的工作。最主要的是运营成本上升，由于资源消耗增加，网站运营者需要支付更多的费用。CDN倒出来的手段多种多样，但主要可以归为以下三类。首先是通过自动化工具代理服务器或僵尸网络发送大量虚假请求。其次是通过自动化工具不断下载大文件或进行大量的数据传输。

也有通过压力测试工具发送大量并发请求，对服务器进行超负荷测试。越是有大文件资源的网站，如镜像网站、软件安装站点越容易成为被攻击对象。我们将分三个关键方面来探讨这个问题。在出现攻击时，我们希望在第一时间受到被攻击的警报，而不是直接收到欠费通知。这就要求我们适当的配置用量封顶策略和推送告警，在第一时间获悉异常的流量激增，并在用量耗尽后停止服务，避免进一步的损失。及时的通知使我们能够快速反应，减少潜在的损失。下一步就是要准确定位问题所在。他给了我们宝贵的时间来评估情况，多维度定位攻击特征，并在攻击造成严重后果之前采取行动。确定了攻击的性质后，我们需要迅速采取防护措施。

接下来给大家详细讲解如何使用h one配置预防CDN刀刷攻击的措施。对网站关键指标添加用量封顶策略进行控制。设置合理的用量上限和告警阈值是防止因盗刷攻击产生高额账单消耗的有效策略。一旦出现告警，立刻根据排查实施请求是否正常，并采取应对措施进行相应处理。首先，什么是用量封顶策略？简单来说，这就是给网站设置的安全法。当某些关键指标超过预设的限制时，它会自动采取措施保护你的网站。让我们来看几个关键点。首先，我们需要确定生效范围及哪些网站需要这种保护。通常我们会选择网站的关键部分或特定的子域名来进行监控。这样做可以让我们更容易发现并阻止攻击。接下来我们需要决定统计周期与阈值及多久检查一次，以及什么样的情况算是异常。建议选择5分钟为统计周期，能够及时发现短时间内的异常流量或请求峰值，快速采取防护措施。

接下来，我们需要决定具体监控什么，以及什么程度算是超标。推荐的做法是监控7层流量监控实际的网页访问和数据传输，有效防止通过不停下载大文件来消耗资源的盗刷手段。建议将告警设置在达到限制的50%时。给予网站运营者足够的时间来应对。超出阈值停止服务，当访问量超过设定的限制时，服务会自动停止。接下来我为大家操作演示一下。登录边缘安全与加速控制台。在左侧菜单栏中单击站点列表。单机需要配置用量封顶策略的站点。在左侧菜单栏单击用量封顶策略。

单击添加封顶策略。选择合适的生效范围。选择封顶配置为7层流量。根据业务水位选择合适的封顶流量。超出阈值及停止服务设置告警阈值为50%。单击保存，封顶策略将部署生效。为了实现精细化的防护措施，建议开启实时日志推送功能，以较低的时延将请求访问日志投递到您指定目的地。支持通过控制台或API配置。从请求发起到目的地接收日志的延迟在5分钟以内，适合需要实时监控和快速排的场景。H one的实时日志推送功能涵盖多种个性化数据分析场景。如深度数据分析。

在这个场景中，我们可以指定一个或多个条件来查找符合要求的日志。比如可以查询特定客户端IP在指定时间范围内的访问统计，包括访问的URL和访问次数。可以通过筛选状态码时间和URL来细分分析状态码的分布情况。还可以筛选出被标记为观察的日志，汇总这些请求的头部内容和其他特征信息，从而优化我们的安全策略。2监控服务指标。这个场景主要用于分析h one服务的质量和用户的访问效率。我们可以监控h one的整体响应耗时、下载速度、回原响应耗时等指标，以便及时发现并解决潜在的问题。3鉴别盗刷。通过分析流量异常访问模式和访问频率，我们可以识别出可能存在盗刷等恶意行为的客户端IP，从而采用相应的防护措施。

统一多厂商监控数据。对于使用多个云服务商企业，I允许我们自建数据大屏，在一个平台上统一监控多个云厂商的应用数据，提高管理效率。最后，对于有长期保存用户访问日志需求的企业，支持将相关日志保留30天以上，满足合规要求，进行长期数据分析。实时日志服务提供了日志的实时采集与推送功能，可将您的日志推送到腾讯云日志服务或您自建数据中心内，帮助您自行实现对日志数据的灵活检索与分析。目前支持将日志推送到以下目的地。腾讯云CLS。AWSS3兼容对象存储。或推送至HTTP服务器。接下来为大家操作演示。登录边缘安全加速控制台，在左侧菜单栏中选择站点列表。

单机需要配置的站点。单击左侧日志服务实时日志。单击新建推送任务。输入任务名称。选择日志类型为站点加速日志。选择服务区。选择域名，单击下一步。在定义推送内容页面。勾选需要推送的字段列表。One提供了丰富的字段内容，包括客户端消息、请求信息、响应信息、原站信息和安全防护等信息。此处我们可以勾选上boot管理相关的字段，定位盗刷流量。我们也可以根据特定的日志字段对上述字段列表进行筛查后再推送。比如，您可以筛选触发了处置方式为静默以及触发了报图管理安全模块的请求。

您可以选择是否对日志进行采样。日志输出格式默认为Jason，您也可以选择为CSV格式。单击下一步。此处以推送至腾讯云日志服务CLS为例进行操作演示。在目的地信息页面选择目标日志及所在地域日志及日志主题。点击推送。

即可配置成功。实时日志推送系统提供了多种类型的日志，每种日志都有其特定的记录范围和用途。让我们详细了解一下这些日志类型。站点加速日志记录了所有通过CDN的7层请求。提供了网站访问的全貌。速率限制和CC攻击防护日志只记录了触发速率限制或CC攻击防护规则的请求。无论这些请求是否被拦截。托管规则日志记录了所有触发托管规则模块安全规则的请求，无论是否被拦截。自定义规则日志记录了所有符合我们自定义规则的请求，同样不论其是否被拦截。Boot管理日志记录了所有触发boot管理模块安全规则的请求，无论是否被拦截。

需要注意的是，只有开启了boot管理功能的站点域名才支持。接下来介绍排查措施。At one指标分析通过分析访问日志数据，为我们提供多维度、可视化的数据展示。在流量分析中，我们可以看到几个关键的指标。流量的请求数，时间趋势曲线。访问的地理分布，各种维度数据的top排行。这些数据能让我们快速掌握网站的整体访问情况。在排查盗刷攻击时，我们需要更加关注一些特定的数据。比如referreee，排行和分布。Referreee是指访问来源。如果我们发现大量的空refer referee或非法referre，这往往意味着可能存在壮酷攻击或恶意爬虫行为。其次是URL资源类型的访问量变化。如果我们发现某几个URL或特定类型的资源请求量突然大幅增加。

这可能意味着我们正在遭受针对性的盗刷攻击。其次是客户端IP的top排行，我们需要观察是否存在少量IP贡献了大部分的请求。在实际操作中添加合适的筛选条件是定位异常流量的关键，我们可以根据上述提到的各种指标设置。筛选条件，这样可以更快速、更准确的找出潜在的流量。接下来为大家进行操作演示。登录边缘安全与加速eo控制台，在左侧菜单栏中单击指标分析。单击添加筛选，将出现用量告警的站点加入筛选。选择日期为疑似遭受盗刷攻击的时间段。

在L7访问流量页面下拉查看以下维度的排行。如访问区域分布。访问hosts排行、客户端IP排行、free排行、URL排行。资源类型排行。结合其他维度特征进行排查。让我们回到PPT。为进一步发现盗刷请求的更多特征，需要对告警发生时段的离线日志进行深入分析。通过不同字段进行综合分析，可以从客户端IPURL路径、请求参数、user agent、访问来源多个维度描绘盗刷请求的画像。帮助我们更全面了解攻击特征，从而制定更精准的防护策略。

让我们来看在分析离线日志时需要重点关注的几个关键字段。首先是request URL, 这是客户端请求的URL路径。这个字段可以帮我们识别出是哪些特定的页面正在被频繁访问。其次是request URL query string及URL中的查询参数。如果我们发现被刷请求的查询参数有固定模式或明显特征，我们就可以考虑针对这些特定参数或发出这些请求的IP设置黑名单。Request UA字段记录了客户端的user agent信息。简单的刷量工具往往会使用相同的userc agent.如果我们发现某个不常见的user agent出现异常高频的访问。则可以考虑将其直接封禁。Requestre字段记录了请求的来源信息，正常的请求通常来自同一网页的其他页面或搜索引擎。如果我们发现一些不常见的外部引用页面突然出现大量外部referre，这可能就是异常信号。

Client IP字段记录了请求的原IP，如果我们发现少量IP产生了大量请求，这些IP就值得我们去重点关注，可能需要采取封禁措施。最后，Edge body bits字段记录了节点返回给客户端的响应体大小。这个字段在分析刷量行为时较为关键。因为恶意刷量，通常会反复下载大文件。通过分析这个字段的统计结果，我们可以快速识别出可能的刷量行为。在实际操作中，我们需要结合这些字段的数据寻找异常模式。接下来为大家进行操作演示。登录边缘安全加速平台eo控制台。单击左侧站点列表。选择疑似遭受盗刷攻击的站点。

单击左侧日志服务离线日志。选择疑似遭受盗刷攻击时间段内的。日志范围。单机下载。即可进行后续的排查。接下来讲解应对措施。对于个人版客户，通过排查可以对异常字段设置基础访问管控进行拦截。基础版及以上用户可以利用精确匹配规则、多维度特征综合定位盗刷流量，对于符合匹配条件的请求，可以配置执行处置为javascript挑战，可以减少误拦截。

接下来是特定IP拦截的场景示例。比如，您通过指标分析发现某文件的访问占比异常偏高，进一步排查该文件的uri为testapp.apk。确认请求，该文件的客户端IP集中在1.1.1.024网段，基于这样的线索，可以创建IP黑名单策略，接下来大家进行操作演示。登录边缘安全加速平台eo控制台，在左侧站点列表选择需要配置的站点。单机安全防护外防护。定位到自定义规则。对于个人版用户，单击基础访问管控中的添加规则。选择管控类型为客户端IP。

匹配方式为等于。对于这个疑似网段进行拦截。单击保存规则将部署生效。对于基础版及以上用户，单击精确匹配规则中的添加规则。配置判断条件为客户端IP匹配。选择处置方式为javascript挑战，可以适当减少误拦截。单击保存并发布，规则将部署生效。接下来是特定UA拦截的场景示例。

假设您通过排查发现某时段内请求的UA分布异常集中，进一步分析发现访问次数最高的是Python requests2.22.0，可以判定为自动化请求或恶意爬虫。可以通过配置基础访问管控user agent黑名单规则来拦截可疑请求。接下来大家操作演示。定位到自定义规则卡片。在基础访问管控中单击添加规则。选择管控类型为user agent管控。匹配方式为通配符匹配。

对于UC证中包含Python requests的请求统一进行拦截，其中星号代表0个或多个字符。单击确定，规则将部署生效。对于已知的常见盗刷工具，可以提前配置其特征UC agent字符串到自定义规则中，在站点全局或重点路径下预防性开启该规则，可以较大程度上降低被此类工具盗刷的风险。接下来为大家操作演示。首先定位到自定义规则卡片。对于个人版用户，可以在基础访问管控中配置2条规则。首先是空佣A拦截。选择管控类型为UC agent管控。选择匹配方式为为空。单击保存。

添加第二条规则。选择管控类型为user agent, 管控匹配方式为通配符匹配。对于如下已知恶意UC进行预防性拦截。单击保存规则将部署生效。让我们回到PPT。在遭受大规模user agent分散式盗刷时，仅允许常见正常的浏览器APP的合法user agent访问，可以一次性过滤大量的可疑请求。

但因规则力度强大，存在一定的误判风险，应谨慎使用。接下来为大家操作演示。首先定位到自定义规则。在基础访问管控中点击添加规则。管控类型为UC管控，匹配方式为通配服不匹配。对于所有user agent不匹配下列内容的请求进行拦截。

单击保存规则将部署生效。让我们回到PPT。对于上述的规则。对于基础版及以上用户，建议在精确匹配规则中配置选择执行动作为javascript挑战，可以适当减少误拦截。接下来是异常软free拦截的场景示例。当一个用户在某个网页点击链接访问另一个网页时，浏览器会自动在HTTP请求头中添加一个free字段，这个字段记录了用户是从哪个网页跳转过来的。基于HTTP请求头中的re字段设置访问控制规则，可以实现对访客的身份识别和过滤，防止网站资源被非法盗用。

配置referre黑白名单I会根据名单识别请求身份，允许或拒绝访问请求。假如您通过观察疑似盗刷流量的请求头，发现referee和请求资源一致，这是不常见的。从个人业务角度出发，如果是博客网站，Referee通常是博客地址，比如HTTPS://block.top。针对这种情况，可配置基础访问管控拦截referre头，包含cdnmyexample.top或者free为空的请求。接下来为大家进行操作演示。首先定位到自定义规则。单击添加规则。

选择管控类型为refre。匹配方式为通配符匹配。填写字段为疑似盗刷流量的异常，Re.执行动作为拦截，单击保存规则将部署生效。对于基础版及以上用户，建议在精确匹配规则中配置如上规则，选择执行动作为javascript挑战，可以减少误拦截。Free防盗链是一种服务端设置的访问控制机制，可以用于防止未经授权的网站盗用服务器资源。比如您example.com站点下的WW点点com域名业务仅允许free为https://ww.example.com的访问，其他请求则直接403拒绝。

这可通过配置自定义规则来实现。接下来为大家操作演示。首先定位到自定义规则。单击基础访问管控中的添加规则。输入规则名称。选择管控类型为free管控。对于所有referre不等于合法referre的请求，统一进行拦截。单击保存规则将部署生效。对于基础版及以上的用户，可以配置精确匹配规则。

配置判断条件为请求域名等于。并且。请求referre不等于合法re的请求。配置处置方式为javascript挑战。可以适当减少污拦解，单击保存并发布。规则将部署生效。接下来让我们回到PPT。H one平台托管的速率限制，通过速率机械学习、头部特征统计分析和客户端IP情报等方式识别CC攻击并进行处置。

其中，自适应频控根据配置的限制等级统计当前域名的请求速率，基于最近7天请求建立速率基线。结合配置的限制等级，限制单个客户端访问该域名的请求速率。紧急限制等级适用于网站遭受攻击或防护透传造成业务影响时，可临时将自适应频控限制等级设置为紧急。通过javascript挑战，高效阻止恶意IP的大量请求，有效防范盗刷和其他攻击行为。接下来为大家进行操作演示。首先定位到速率限制卡片。单击自适应屏控右侧的编辑。配置限制等级为自适应紧急配置，处置方式为javascript挑战。单击保存规则将部署生效。

让我们回到PPT。在与DDOS攻击的区别中。盗刷往往更加隐蔽，需要结合特定的业务场景来进行判断。制定个性化的频次限制策略，以避免误拦截合法用户。无论是针对IP user agent还是referred拦截策略，都属于精准拦截。然而，在实际攻击中，攻击特征可能并不明显。结合业务场景的防御策略，首先需要网站管理者评估自身业务的正常访问模式，确定业务流量基线。推荐您使用h one外部防护功能中的速率限制，根据正常业务水位设定阈值，配置限速策略。通过实时日志来进行监控和调整。接下来是不同业务场景示例。首先是游戏业务场景。比如游戏版本发布当天，通常情况下，单IP的下载个次数通常为1次，个别因网络问题导致的重试下载不超过3次。

但某些IP在版本发布后频繁下载安装包和更新包，远超正常用户的行为，触发了用量告警，推测可能是盗版网站或分享社区在抓取游戏包，或有攻击者在意图消耗带宽。可以通过配置精准速率限制规则，及时阻断这些恶意请求。接下来为大家进行操作演示。首先定位到速率限制卡片。单击精准速率限制中的添加规则。填写规则名称，单击添加。配置判断条件为。请求URL包含。游戏包的下载路径？

以及请求方式为get的请求。对于客户端IP这个请求特征进行统计。在10秒内超过一次的请求触发javascript挑战。配置处置持续时间为10分钟。单击保存并发布，规则将部署生效。接下来是个人网站业务场景下。比如，您通过指标分析，在一次遭受盗刷攻击的时间段内，访问激增的资源类型主要集中在图片。对于频繁访问这些图片资源。

在精准速率限制中，对来自同一客户端IP并且具有相同的G3指纹的请求进行限速。通过使用J3指纹，您可以更精确的识别和限制可疑的自动化访问，同时最大限度的减少对正常用户的影响。这种方法在保护您的图片资源免受盗刷攻击的同时，也能维持良好的用户体验。接下来为大家进行操作演示。首先定位到速率限制卡片。单击精准速率限制下方的添加规则。填写规则名称。对于请求路径。文件后缀匹配图片的请求。

统计客户端IP和G3指纹。对技术值在10秒内超过一次的客户端IP进行限速执行处置，为javascript挑战。配置处置处，持续时间为30分钟。单击保存并发布，规则将部署生效。让我们回到PPT。O智能分析适用于需要快速部署、识别并分析网站流量模式的情况。

BOT智能分析，基于聚类分析算法和大数据模型的智能引擎，帮助您从多种角度综合判断请求的风险，更便捷的使用boot管理，快速识别和处理已知或未知boot。避免固定单一的策略被绕过。BOT智能分析将通过对多个因素进行综合分析，将请求分类为正常请求、正常BOT请求、疑似BOT请求以及恶意BOT请求，并支持对不同类型的请求进行不同的处置方式。对于标准版和企业版用户，建议加购boot管理功能，开启智能分析使用推荐配置。接下来为大家进行操作演示。首先定位到boot管理卡片。开启boot智能分析。

单击BOT智能分析下方的编辑。开启使用推荐配置。单击保存规则将部署生效。以上就是网站安全防护实战第二节如何使用h one防范网站盗刷攻击的全部内容，谢谢大家观看。在下一讲中，我们将为大家带来在网站遭受CC攻击时，如何使用h one进行全面的应对。