全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 阿里云办公 培训与认证 物联网
对象存储 OSS

OSS异常流量排查及防护

更新时间:2017-08-16 14:56:28

OSS适用于存储各种类型的静态资源,您将静态资源存放在OSS中,当OSS产生大流量的异常流量时,可能是恶意referer盗链或者恶意IP请求访问OSS资源导致的。针对上述情况,本文将向您介绍如何定位排查异常流量以及如何防护。

异常流量排查分析

如何定位恶意IP访问

分析OSS资源监控数据,查看是否存在恶意IP异常请求OSS资源。查看方法如下:

登录OSS管理控制台,单击您的Bucket名称进入Bucket详情页面,单击热点统计->热点,如下图所示:

热点统计

您也可以直接分析OSS日志,获取IP访问TOP情况。日志分析可以通过日志分析工具进行,如awk,过滤非CDN回源请求的top ip:
cat rplog-rabbitpre2017-04-20-20-00-00-0001 |awk '{if ($(NF-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20 ;

OSS日志开启请查看设置日志,日志字段说明请查看OSS日志字段说明

定位到恶意IP,如何防护

  • 如果Bucket为私有权限

    建议您迁移数据到新的Bucket中,新的Bucket私有,通过开启waf/高防防护的自定义域名对外服务。如何为Bucket开启WAF/高防防护请查看OSS提供的安全防护功能介绍

  • 如果Bucket为公共读权限

    • 可以为Bucket私有对外提供签名URL访问(需要业务端集成签名算法有一定开发成本),Bucket私有可以增加恶意下载的成本。OSS签名URL算法请查看OSS签名URL算法,OSS签名URL实现的php demo请查看OSS签名URLdemo,OSS sdk获取签名URL请查看OSS SDK获取签名URL

    • (推荐)或者迁移数据到另外的Bucket中,通过开启waf/高防防护的自定义域名对外服务,如何为Bucket开启WAF/高防防护请查看OSS提供的安全防护功能介绍

    • 或者迁移数据到另外的Bucket中,再使用自定义域名对外服务,开启CDN加速,利用CDN的IP黑名单进行限制访问,但是CDN IP黑名单存在条数限制。数据迁移请参考OSS importOSS,开启CDN加速请参考CDN加速OSS

如何定位恶意referer访问

分析OSS资源监控数据,查看是否存在恶意referer异常请求OSS资源,查看方法如下:

登录OSS管理控制台,单击您的Bucket名称进入Bucket详情页面,单击热点统计->热点,如下图所示:

热点统计

您也可以直接分析OSS日志,获取IP访问TOP情况。日志分析可以通过日志分析工具进行,如awk。OSS日志开启请查看设置日志,日志字段说明请查看OSS日志字段说明

定位到恶意referer,如何进行防护

用户可以通过OSS管理控制台或者API的方式对一个Bucket设置referer字段的白名单和是否允许referer字段为空的请求访问。

例如,对于一个名为oss-example的Bucket,设置其referer白名单为http://www.aliyun.com/, 则所有referer为http://www.aliyun.com/的请求才能访问oss-example这个Bucket中的object。具体设置方法请参考:设置防盗链

防盗链

高防/WAF如何防护OSS资源

高防防护OSS

  1. 自定义域名绑定Bucket,无需做cname解析到Bucket域名上,域名绑定请参考: 域名绑定

    绑定域名

  2. 自定义域名配置高防,具体操作请参考:高防配置

    自定义域名配置高防

  3. 在域名服务商那边增加cname 解析,解析到高防提供的cname地址上即可。

    cname解析

WAF结合OSS使用

  1. 自定义域名绑定Bucket,但无需做cname解析到Bucket域名上,域名绑定请参考: 域名绑定

    绑定域名

  2. 自定义域名配置WAF,请参考:WAF配置

    waf

  3. 在域名服务商那边增加cname解析,解析到WAF提供的cname地址上即可。

    cname解析

本文导读目录