ECS实例上的网站被恶意刷流量的处理方法

ECS实例上的网站被恶意刷流量的处理方法

更新时间:2020-07-15 09:49:49

免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

概述

本文主要讲述ECS实例在遇到网站被大量恶意访问、刷流量的情况时的处理方法。

详细信息

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

您需要分析访问日志,分析出具体的特征,比如是针对某个URL大量访问、某个IP大量访问、恶意访问的User Agent固定等。分析到这些信息后,就可以做屏蔽操作,Nginx版站点可以直接在站点配置文件中写入屏蔽条目。Apache版站点可以在站点根目录下添加.htaccess文件,请您参考以下场景并根据网站类型进行操作。

异常IP较多

请您根据具体网站的类型参考以下对应场景进行操作。

Nginx版站点

Nginx服务中,将对应IP进行屏蔽的配置如下所示:

if ($remote_addr !~ "^([$IP])"){
return 403;
}

说明:[$IP]指的是对应的IP信息。

Apache版站点

Apache服务中,将对应IP进行屏蔽的配置如下所示:

order allow,deny
deny from [$IP_Address]
allow from all

说明:[$IP_Address]指的是具体的IP地址。

异常User Agent较多

请您根据具体网站的类型参考以下对应场景进行操作。

Nginx版站点

Nginx服务配置如下所示,遇到对应的User Agent直接返回403。

if ($http_user_agent ~ "[$User_Agent]"){
   return 403;
}

说明:[$User_Agent]指的是对应的User Agent信息。

Apache版站点

在站点根目录下添加.htaccess文件,Apache服务配置如下所示将包含abccde字符的User Agent都进行拒绝处理

RewriteEngine on
RewriteCond%{HTTP_USER_AGENT} ^abc* [NC,OR]
RewriteCond%{HTTP_USER_AGENT} ^cde* [NC]
RewriteRule .* - [F]

异常IP和User Agent较多

如果出现没有明显特征的,且IP和User Agent都非常多的情况下,通过上述的规则进行屏蔽不太好实现屏蔽的效果。您可以考虑结合使用Web应用防火墙进行防护,可以自动识别这种攻击流量进行防御,具体操作请参见以下文档:

注意:以上的方式主要适用于攻击量不是很大的情况,如果攻击量已经非常大,主机内屏蔽效果不会太明显,建议可以结合Web应用防火墙防护。

适用于

  • 云服务器ECS