|
購物節(jié)前夕。 家樂福信息安全負(fù)責(zé)人老袁提高了警惕,經(jīng)歷過五次與 DDoS、羊毛黨和黃牛黨的短兵相接的他,深知購物節(jié)前后是電商安全人員最緊繃的時(shí)候,大群 " 牛羊 " 們摩拳擦掌,等著收割各種優(yōu)惠品、代金券,一場線上攻防戰(zhàn)說來就來。 不出意料,購物節(jié)當(dāng)天的早晨,他接到有關(guān)同事的消息,說遭遇了短信炸彈攻擊,短信網(wǎng)關(guān)接近 8 點(diǎn)時(shí)并發(fā)量突然超過平時(shí)的十倍,一個(gè)小時(shí)后便恢復(fù)正常。這正好是家樂福從原來的 WAF ( Web 應(yīng)用防火墻 ) 升級(jí)到了騰訊云 WAF 的第二天。 短信炸彈是羊毛黨、黃牛黨們最鐘愛的武器之一,頗讓他頭疼。短信炸彈,簡單來說就是利用網(wǎng)絡(luò)中的第三方接口無限發(fā)送轟炸短信。 而對(duì)于電商而言,調(diào)用短信接口是要收取 " 買路財(cái) " 的,多則一毛、兩毛,少則幾分,如果這個(gè)數(shù)量,在單個(gè) IP 上變成了平常的十倍、百倍,再出現(xiàn)無數(shù)個(gè)這樣的異常 IP,企業(yè)就要為這些短信接口的濫用付出巨額 " 通道費(fèi) "。 更可怕的是,如果用戶在一天之內(nèi)收到幾十上百條來自 " 家樂福 " 的短信,分分鐘會(huì)當(dāng)場卸載這個(gè) APP。 戰(zhàn)斗,一忌輕視對(duì)手,二忌經(jīng)驗(yàn)不足,三忌戰(zhàn)術(shù)單薄。 雖然只是短短一小時(shí)的異常,但憑借多年跟黑產(chǎn)交鋒的職業(yè)嗅覺和歷史教訓(xùn)——他的前東家曾在春節(jié)檔被短信炸彈攻擊到每天損失十幾萬——老袁還是察覺到了一絲詭異,這很可能是黑產(chǎn)對(duì)于對(duì)手戰(zhàn)力 " 投石問路 " 式的試探,如果一時(shí)麻痹大意,很可能會(huì)引來更大規(guī)模的挑釁和進(jìn)攻。 經(jīng)過和騰訊云安全 WAF 團(tuán)隊(duì)確認(rèn)和交流,老袁發(fā)現(xiàn)這是騰訊云 WAF 非常典型的業(yè)務(wù)場景,簡單來說,就是黑產(chǎn)撞到了槍口上。騰訊云安全團(tuán)隊(duì)向老袁分享了類似攻擊事件的防護(hù)經(jīng)驗(yàn),并且再次講解了騰訊云 WAF 在 BOT 行為中的防護(hù)原理。 武器在手,軍師在后,老袁決定上陣迎戰(zhàn)。他登陸進(jìn)騰訊云 WAF 去查看行為分析數(shù)據(jù)后,發(fā)現(xiàn)在當(dāng)天凌晨和早上接近 9 點(diǎn)時(shí),短信 API 接口的訪問頻次異常高,再展開細(xì)化日志分析,有多個(gè) IP 以每分鐘高達(dá) 470-500 次的速度進(jìn)行訪問——這顯然不是正常人類的速度,看不到盡頭的網(wǎng)線背后,可能是一個(gè)用心險(xiǎn)惡的黑產(chǎn)軍團(tuán)。 一般搞電商的企業(yè)都熟悉且困擾于兩類攻擊。 一種是典型 CC 攻擊,這是一種針對(duì)網(wǎng)頁的攻擊,原理是模擬多個(gè)用戶正常訪問目標(biāo)網(wǎng)站,例如制造大量后臺(tái)數(shù)據(jù)庫的查詢動(dòng)作占用正常請(qǐng)求資源。它雞賊之處在于,這種 " 訪問 " 本身屬于正常請(qǐng)求,但當(dāng)這種 " 正常請(qǐng)求 " 達(dá)到一定程度的時(shí)候,服務(wù)器就會(huì)反應(yīng)不過來直到宕機(jī),也就是 APP 會(huì)出現(xiàn)反應(yīng)慢、賬號(hào)登錄不成功、無法下單、白屏等現(xiàn)象。這也是為什么每次購物節(jié)當(dāng)大家忙著剁手的時(shí)候,各大電商的機(jī)房燈火通明,程序員軟件硬件都用上外加緊張觀察,就是怕服務(wù)器崩掉了帶來慘重?fù)p失。 這次的 " 短信炸彈 " 可以理解成一次 CC 攻擊,老袁第一時(shí)間對(duì)遭攻擊的短信接口做了騰訊云 WAF 的 " 前剎車 " 防護(hù),也就是設(shè)置了 CC 防護(hù)的規(guī)則,把對(duì)短信接口訪問上限定為每分鐘 150 次,超過這個(gè)閾值的 IP,騰訊云 WAF 會(huì)根據(jù)算法第一時(shí)間判斷究竟是真人還是機(jī)器訪問,被判斷為機(jī)器的 IP 將會(huì)被封禁訪問,這也是騰訊云 WAF 自帶可選的懲罰機(jī)制。 但一場漂亮的戰(zhàn)役, 不應(yīng)該只是城樓退敵,更應(yīng)斷其后路 。 CC 攻擊往往只是敵人的先行兵,更可怕的是后續(xù)可能會(huì)出現(xiàn)的慢 BOT 攻擊。這種戰(zhàn)術(shù)更有耐心且隱蔽,敵人會(huì)仔細(xì)偵查對(duì)外開放的每一個(gè)接口,對(duì)開銷較大的接口,以較慢的速度長時(shí)間 " 掛 " 在你家的網(wǎng)上,消耗大量資源。 舉個(gè)例子,假設(shè)一個(gè)正常的客人訪問家樂福網(wǎng)上商城,完整地經(jīng)歷了注冊(cè)、登錄、不小心忘記密碼、支付等驗(yàn)證環(huán)節(jié),他可能一天內(nèi)接收不超過 20 次來自家樂福的短信,但他不會(huì)天天重復(fù)這些環(huán)節(jié)——可是黑產(chǎn)會(huì),他會(huì)肆無忌憚地使用注冊(cè)軟件和隨時(shí)號(hào)碼反復(fù)調(diào)用接口,同時(shí)黑產(chǎn)會(huì)發(fā)動(dòng)羊毛黨把調(diào)用次數(shù)進(jìn)行幾何級(jí)放大,像一群虎視眈眈又極有耐心的禿鷲,終有一天你會(huì)扛不住,那就是我啄食的時(shí)機(jī)。這樣對(duì)網(wǎng)站的損傷也非常大。 考慮到這種情況,老袁的團(tuán)隊(duì)開始啟用之前和騰訊云 WAF 團(tuán)隊(duì)交流時(shí)重點(diǎn)關(guān)注的 BOT 管理功能,使用 BOT 行為管理進(jìn)行安全策略定制,將每個(gè)用戶每天訪問短信端口次數(shù)超 20 次以上的會(huì)話統(tǒng)統(tǒng)攔截,相當(dāng)于開啟了 " 后剎車 "。 懂行的人都知道,WAF 的攔截屬于 " 硬核殺傷 ",當(dāng)觸發(fā)了它的閾值,用戶 IP 就會(huì)被鐵面無私地直接封掉 ; 同時(shí)它又是一件可以動(dòng)態(tài)調(diào)試的武器。騰訊云 WAF 采用自研基于概率圖的威脅 AI 技術(shù),一方面可以更精準(zhǔn)地?cái)r截攻擊 ; 同時(shí)通過行為分析和對(duì)具體業(yè)務(wù)場景設(shè)置動(dòng)態(tài)防護(hù)策略,在不斷對(duì)抗過程中,會(huì)摸清黑產(chǎn)的攻擊策略,將其置之死地。整個(gè)過程,幫助客戶梳理清楚業(yè)務(wù)邏輯, 為業(yè)務(wù)調(diào)整優(yōu)化提供依據(jù) ,這就是騰訊云 WAF 使用策略中的第三道防線。 老袁在這個(gè)過程中也稍稍栽了下跟頭——攔截 CC 和 BOT 攻擊的時(shí)候,只考慮到攔截同一個(gè) IP 的異常訪問,卻忽略掉在顧客在大賣場、在咖啡廳里使用公共 WIFI 訪問網(wǎng)上商城的 " 共享式 IP" 場景。意識(shí)到這個(gè)問題后,他們迅速調(diào)整代碼邏輯,對(duì)每個(gè)用戶使用短信接口場景進(jìn)行優(yōu)化,這個(gè)小小的插曲很快被解決。 設(shè)下以上的 " 三道防線 " 后,家樂福網(wǎng)上商城當(dāng)天幾乎是立刻止血,不再出現(xiàn)短信接口的異常訪問 ! 第一場交鋒 家樂福的輕松取勝 ,讓本想挑釁的黑產(chǎn)團(tuán)伙惱羞成怒,兩天以后的早晨八點(diǎn)——看來這是這個(gè)黑產(chǎn)團(tuán)伙頗為偏愛的時(shí)間點(diǎn)——家樂福的線下門店正在搞活動(dòng),老袁的 手機(jī) 再次被打爆,說是公司的 APP 嚴(yán)重卡死、白屏。黑產(chǎn)團(tuán)伙開始對(duì)家樂福的特定幾個(gè) URL,發(fā)起持續(xù)猛烈的攻擊,訪問量超過 700 萬次,導(dǎo)致服務(wù)器壓力增大,出口業(yè)務(wù)的帶寬被打滿,正常用戶沒辦法訪問 APP 和網(wǎng)頁,用行話說,家樂福的網(wǎng)站被 " 核 " 了。 黑產(chǎn)主要從以下四條 " 小道 " 進(jìn)行突擊猛攻:首先是狂刷用戶行為采集的接口,頻率高達(dá) 300-400 次每秒,這個(gè)接口主要是記錄用戶訪問家樂福 APP 的行為,再寫入數(shù)據(jù)庫 ; 二是瞄準(zhǔn) APP 版本檢查接口,也就是模仿一個(gè)過分焦慮的強(qiáng)迫癥者,一遍遍刷新查詢版本有沒有更新,每天超過幾百萬次,導(dǎo)致 APP 帶寬被惡意消耗掉 ; 三和四分別是查看商品庫存和查看購物車,派機(jī)器人一遍遍去看商品還剩多少、購物車?yán)镉猩叮寯?shù)據(jù)庫讀寫高到爆滿。 可以說,為了在這個(gè)購物節(jié)里打垮家樂福, 黑產(chǎn)團(tuán)隊(duì)也是傾巢而出 ,用上了最前沿的技術(shù),大有不死不休的架勢(shì)。 老袁再次用 " 三道防線 " 的策略迎戰(zhàn),而且這次,他跟他手上的武器已經(jīng)培養(yǎng)出了默契。騰訊云 WAF 本身具備 WAF 的通用特性——硬核殺傷,而且更敏捷、更精準(zhǔn),忠實(shí)于 " 戰(zhàn)士們 " 設(shè)定的 CC 防護(hù)規(guī)則和 BOT 策略,你讓我攔誰我就不留情面地把符合條件的人統(tǒng)統(tǒng)攔截,反手還要送他們的 IP 一個(gè)查封。 但只要戰(zhàn)術(shù)得當(dāng),這把硬核武器可以完成溫柔的 " 殺戮 ", 把黑產(chǎn)攔在門外 ,同時(shí)保證正常用戶訪問,這也是家樂福最后贏下這場硬仗的制勝關(guān)鍵:設(shè)計(jì) CC 防護(hù)和 BOT 防護(hù)規(guī)則的過程中,還要理順代碼邏輯,并且結(jié)合實(shí)際的業(yè)務(wù)場景進(jìn)行針對(duì)性的規(guī)則調(diào)整,剩下的交給 WAF,兵不血刃便已退敵千里。 值得一提的是,騰訊云 WAF 對(duì)于觸犯規(guī)則被封禁的 IP,也不是痛打落水狗式的一棍打死、徹底封禁,而是三天后自動(dòng)解封——這么做的策略主要在于防止這些 IP 落到真實(shí)用戶的手里,導(dǎo)致真正的金主爸爸無辜被擋在門外 ; 而如果 IP 一直攥在黑客手里,那好辦,一直封禁一直爽 , 這樣的 IP 會(huì)被放入到騰訊云安全的威脅情報(bào)數(shù)據(jù)庫,讓黑客無法利用該 IP 為非作歹。 隨著數(shù)字化轉(zhuǎn)型的加快,越來越多的安全問題一一暴露 ,零售商和黑產(chǎn)之間的戰(zhàn)爭只會(huì)越發(fā)激烈。在這場斗爭中,零售決策者們必須把對(duì)安全問題的關(guān)注提升到新的高度,因?yàn)檫@極有可能決定一個(gè)企業(yè)發(fā)展的天花板在哪里。剛剛轉(zhuǎn)向電商的傳統(tǒng)零售商們,在零售紅海中迎著數(shù)字化轉(zhuǎn)型大潮,面對(duì)著來勢(shì)洶洶、彈藥充足的黑產(chǎn)軍團(tuán),或許要試著將自己的后背交給專業(yè)的安全廠商,才能將數(shù)量龐大的 " 牛馬羊 " 黑產(chǎn)群體斬在馬下。 來源:商界 |
|
|
