全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
Web 应用防火墙

风险预警

更新时间:2017-12-15 16:22:30

Web应用防火墙提供的安全报表,支持根据一些常见攻击的特征对您的业务进行风险预警和提示。您可以登录Web应用防火墙控制台,并前往 风险预警 页面查看具体的风险请求类别、特征、目标接口地址、源IP等信息。本文介绍了支持的预警类型和相应的防护建议。

黑客攻击

风险预警提供基于阿里云大数据分析和攻击溯源能力的黑客画像功能。该功能对在您的网站进行过踩点、扫描、攻击等恶意行为的黑客进行标识和记录,标记出的黑客都是现实中具有真实身份的个人。当您收到这类告警信息时,意味着您的站点已经被某个“记录在案”的黑客盯上了。

黑客攻击

图中的圆点代表黑客在相应日期的活动情况,单击具体的圆点可以看到详细的攻击记录。其中:

  • 不同的行代表不同的黑客个体,点击黑客信息可以看到这个黑客的特征信息。
  • 颜色越深表示攻击行为的危害性越大。
  • 圆点越大表示当日攻击次数越多。

防护建议

告警中显示的攻击均已被WAF拦截,您无需担心。建议您保持对服务器非Web业务的安全关注,因为黑客可能会综合采用各种手段渗透您的站点(如SSH、数据库端口等)。

WordPress攻击

风险预警参照 防御WordPress反射 中描述的攻击特征进行检测。如果此类预警数量巨大,极有可能是您的服务器近期遭到了这样的CC攻击。

防护建议

参考上述文档中的防护建议,配置 精准防护规则 来进行防护。

疑似攻击

WAF基于大数据分析的异常检测算法模型筛选出可疑的访问请求,其中可能包含异常的参数名称、类型、顺序、特殊符号、语句等,供您结合业务特征做进一步的分析和防护。

风险预警对异常的部分标红提醒。例如,下图中所示的请求包含了两个重复的参数,并且没有用常规的 “&” 来连接。

疑似攻击

防护建议

此处的告警只是异常请求,可能是特殊业务的正常请求,也可能是变种的攻击,请结合自身业务的特点进行分析。

Robots脚本

WAF支持检测一些常见的机器脚本工具特征(比如python2.2、httpclient)。如果您近期没有用测试工具提交大量请求,该告警数字可能意味着您的站点受到了一些机器脚本工具的恶意请求或探测,也可能包含一些用以进行流量压测或者CC攻击的工具。

防护建议

可结合日志分析排查是否有CC攻击,并结合 精准访问控制紧急模式区域封禁 等防护算法拦截恶意攻击。

爬虫访问

WAF支持检测爬虫请求(包含合法的爬虫,如百度蜘蛛等)。如果该报警数字很大,同时服务器有请求量异常增大,CPU升高等现象,则可能是遇到了伪装成爬虫的CC攻击或恶意爬虫的爬取。

防护建议

可结合日志和服务器性能分析排查是否有CC攻击或恶意爬虫请求。请参考 拦截恶意爬虫 的说明。WAF不会拦截合法的爬虫(如百度爬虫等)请求。

短信滥刷

WAF支持检测对短信注册、短信验证等接口的请求。如果该告警数字数量巨大,则很可能有人在恶意滥刷您的短信接口(可造成高额的短信开销费用)。

短信滥刷

防护建议

点击查看详情可以看具体的请求:

查看性情

您可以结合请求最多的源IP和接口去分析是否是正常的业务调用。如果不是,建议使用 数据风控自定义CC防护功能,对被刷接口进行防护。

本文导读目录