全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多
Web 应用防火墙

恶意IP惩罚

更新时间:2018-07-09 15:36:16

功能描述

传统的Web应用防火墙针对IP-URL维度进行拦截。当判定一个请求是攻击行为后,单次阻断该请求。而实际上,攻击者们可能持续不断地在对您的网站进行扫描、攻击,研究防护策略并尝试绕过防火墙,单次阻断的处理方式在这种情况下往往不够高效。

针对这种情况,云盾Web应用防火墙提供恶意IP惩罚功能。当一个IP被WAF识别到正在进行持续的攻击行为时,WAF自动封禁该恶意IP。

云盾WAF利用阿里云平台积累的海量恶意IP库和机器学习功能,对发起攻击的IP的行为、攻击频率进行学习分析,生成判定规则。当发起攻击的IP的行为被判定为持续攻击行为,直接阻断这个IP的所有访问请求。

说明:包年包月模式的WAF实例均支持恶意IP惩罚。按量付费的WAF实例必须在功能与规格中为Web攻击防护启用高级防护,才能使用恶意IP惩罚。具体操作,请参考功能与规格配置

Web攻击高级防护

操作步骤

参照以下步骤,启用恶意IP惩罚功能:

说明:执行以下操作前,请确保已将网站接入WAF进行防护。具体操作请参考CNAME接入指南

  1. 登录云盾Web应用防火墙控制台

  2. 前往管理>网站配置页面,选择地区。

  3. 选择要操作的域名,单击其操作列下的防护配置

  4. 恶意IP惩罚下,启用防护。默认的防护规则是:当WAF在1分钟内拦截到一个IP发动的2次Web攻击时,就封禁该IP的访问请求6分钟。

    恶意IP惩罚

    说明:如果您不想使用恶意IP惩罚功能,您可以在此页面关闭防护。

测试示例

启用恶意IP惩罚后,当您的网站遭受扫描器扫描或黑客持续攻击时,WAF在很短的时间内就会识别并阻断攻击IP的所有访问行为,极大增加黑客的攻击成本。以下是启用该功能后的实际效果测试。

启用恶意IP惩罚功能后,使用黑客工具SQLMAP对已防护的网站进行SQL注入攻击扫描。

SQL注入攻击扫描测试

从结果中看到,云盾WAF在短时间内就拦截了这个攻击IP的所有请求,阻止攻击者继续攻击。

恶意IP惩罚可以十分有效地屏蔽各类自动化工具、扫描器发起的攻击,保护您的网站业务安全。

本文导读目录