购物节前夕。
家乐福信息安全负责人老袁提高了警惕,经历过五次与 DDoS、羊毛党和黄牛党的短兵相接的他,深知购物节前后是电商安全人员最紧绷的时候,大群 " 牛羊 " 们摩拳擦掌,等着收割各种优惠品、代金券,一场线上攻防战说来就来。
不出意料,购物节当天的早晨,他接到有关同事的消息,说遭遇了短信炸弹攻击,短信网关接近 8 点时并发量突然超过平时的十倍,一个小时后便恢复正常。这正好是家乐福从原来的 WAF ( Web 应用防火墙 ) 升级到了腾讯云 WAF 的第二天。
短信炸弹是羊毛党、黄牛党们最钟爱的武器之一,颇让他头疼。短信炸弹,简单来说就是利用网络中的第三方接口无限发送轰炸短信。
而对于电商而言,调用短信接口是要收取 " 买路财 " 的,多则一毛、两毛,少则几分,如果这个数量,在单个 IP 上变成了平常的十倍、百倍,再出现无数个这样的异常 IP,企业就要为这些短信接口的滥用付出巨额 " 通道费 "。
更可怕的是,如果用户在一天之内收到几十上百条来自 " 家乐福 " 的短信,分分钟会当场卸载这个 APP。
战斗,一忌轻视对手,二忌经验不足,三忌战术单薄。
虽然只是短短一小时的异常,但凭借多年跟黑产交锋的职业嗅觉和历史教训——他的前东家曾在春节档被短信炸弹攻击到每天损失十几万——老袁还是察觉到了一丝诡异,这很可能是黑产对于对手战力 " 投石问路 " 式的试探,如果一时麻痹大意,很可能会引来更大规模的挑衅和进攻。
经过和腾讯云安全 WAF 团队确认和交流,老袁发现这是腾讯云 WAF 非常典型的业务场景,简单来说,就是黑产撞到了枪口上。腾讯云安全团队向老袁分享了类似攻击事件的防护经验,并且再次讲解了腾讯云 WAF 在 BOT 行为中的防护原理。
武器在手,军师在后,老袁决定上阵迎战。他登陆进腾讯云 WAF 去查看行为分析数据后,发现在当天凌晨和早上接近 9 点时,短信 API 接口的访问频次异常高,再展开细化日志分析,有多个 IP 以每分钟高达 470-500 次的速度进行访问——这显然不是正常人类的速度,看不到尽头的网线背后,可能是一个用心险恶的黑产军团。
一般搞电商的企业都熟悉且困扰于两类攻击。
一种是典型 CC 攻击,这是一种针对网页的攻击,原理是模拟多个用户正常访问目标网站,例如制造大量后台数据库的查询动作占用正常请求资源。它鸡贼之处在于,这种 " 访问 " 本身属于正常请求,但当这种 " 正常请求 " 达到一定程度的时候,服务器就会反应不过来直到宕机,也就是 APP 会出现反应慢、账号登录不成功、无法下单、白屏等现象。这也是为什么每次购物节当大家忙着剁手的时候,各大电商的机房灯火通明,程序员软件硬件都用上外加紧张观察,就是怕服务器崩掉了带来惨重损失。
这次的 " 短信炸弹 " 可以理解成一次 CC 攻击,老袁第一时间对遭攻击的短信接口做了腾讯云 WAF 的 " 前刹车 " 防护,也就是设置了 CC 防护的规则,把对短信接口访问上限定为每分钟 150 次,超过这个阈值的 IP,腾讯云 WAF 会根据算法第一时间判断究竟是真人还是机器访问,被判断为机器的 IP 将会被封禁访问,这也是腾讯云 WAF 自带可选的惩罚机制。
但一场漂亮的战役,不应该只是城楼退敌,更应断其后路。
CC 攻击往往只是敌人的先行兵,更可怕的是后续可能会出现的慢 BOT 攻击。这种战术更有耐心且隐蔽,敌人会仔细侦查对外开放的每一个接口,对开销较大的接口,以较慢的速度长时间 " 挂 " 在你家的网上,消耗大量资源。
举个例子,假设一个正常的客人访问家乐福网上商城,完整地经历了注册、登录、不小心忘记密码、支付等验证环节,他可能一天内接收不超过 20 次来自家乐福的短信,但他不会天天重复这些环节——可是黑产会,他会肆无忌惮地使用注册软件和随时号码反复调用接口,同时黑产会发动羊毛党把调用次数进行几何级放大,像一群虎视眈眈又极有耐心的秃鹫,终有一天你会扛不住,那就是我啄食的时机。这样对网站的损伤也非常大。
考虑到这种情况,老袁的团队开始启用之前和腾讯云 WAF 团队交流时重点关注的 BOT 管理功能,使用 BOT 行为管理进行安全策略定制,将每个用户每天访问短信端口次数超 20 次以上的会话统统拦截,相当于开启了 " 后刹车 "。
懂行的人都知道,WAF 的拦截属于 " 硬核杀伤 ",当触发了它的阈值,用户 IP 就会被铁面无私地直接封掉 ; 同时它又是一件可以动态调试的武器。腾讯云 WAF 采用自研基于概率图的威胁 AI 技术,一方面可以更精准地拦截攻击 ; 同时通过行为分析和对具体业务场景设置动态防护策略,在不断对抗过程中,会摸清黑产的攻击策略,将其置之死地。整个过程,帮助客户梳理清楚业务逻辑,为业务调整优化提供依据,这就是腾讯云 WAF 使用策略中的第三道防线。
老袁在这个过程中也稍稍栽了下跟头——拦截 CC 和 BOT 攻击的时候,只考虑到拦截同一个 IP 的异常访问,却忽略掉在顾客在大卖场、在咖啡厅里使用公共 WIFI 访问网上商城的 " 共享式 IP" 场景。意识到这个问题后,他们迅速调整代码逻辑,对每个用户使用短信接口场景进行优化,这个小小的插曲很快被解决。
设下以上的 " 三道防线 " 后,家乐福网上商城当天几乎是立刻止血,不再出现短信接口的异常访问 !
第一场交锋家乐福的轻松取胜,让本想挑衅的黑产团伙恼羞成怒,两天以后的早晨八点——看来这是这个黑产团伙颇为偏爱的时间点——家乐福的线下门店正在搞活动,老袁的手机再次被打爆,说是公司的 APP 严重卡死、白屏。黑产团伙开始对家乐福的特定几个 URL,发起持续猛烈的攻击,访问量超过 700 万次,导致服务器压力增大,出口业务的带宽被打满,正常用户没办法访问 APP 和网页,用行话说,家乐福的网站被 " 核 " 了。
黑产主要从以下四条 " 小道 " 进行突击猛攻:首先是狂刷用户行为采集的接口,频率高达 300-400 次每秒,这个接口主要是记录用户访问家乐福 APP 的行为,再写入数据库 ; 二是瞄准 APP 版本检查接口,也就是模仿一个过分焦虑的强迫症者,一遍遍刷新查询版本有没有更新,每天超过几百万次,导致 APP 带宽被恶意消耗掉 ; 三和四分别是查看商品库存和查看购物车,派机器人一遍遍去看商品还剩多少、购物车里有啥,让数据库读写高到爆满。
可以说,为了在这个购物节里打垮家乐福,黑产团队也是倾巢而出,用上了最前沿的技术,大有不死不休的架势。
老袁再次用 " 三道防线 " 的策略迎战,而且这次,他跟他手上的武器已经培养出了默契。腾讯云 WAF 本身具备 WAF 的通用特性——硬核杀伤,而且更敏捷、更精准,忠实于 " 战士们 " 设定的 CC 防护规则和 BOT 策略,你让我拦谁我就不留情面地把符合条件的人统统拦截,反手还要送他们的 IP 一个查封。
但只要战术得当,这把硬核武器可以完成温柔的 " 杀戮 ",把黑产拦在门外,同时保证正常用户访问,这也是家乐福最后赢下这场硬仗的制胜关键:设计 CC 防护和 BOT 防护规则的过程中,还要理顺代码逻辑,并且结合实际的业务场景进行针对性的规则调整,剩下的交给 WAF,兵不血刃便已退敌千里。
值得一提的是,腾讯云 WAF 对于触犯规则被封禁的 IP,也不是痛打落水狗式的一棍打死、彻底封禁,而是三天后自动解封——这么做的策略主要在于防止这些 IP 落到真实用户的手里,导致真正的金主爸爸无辜被挡在门外 ; 而如果 IP 一直攥在黑客手里,那好办,一直封禁一直爽 , 这样的 IP 会被放入到腾讯云安全的威胁情报数据库,让黑客无法利用该 IP 为非作歹。
随着数字化转型的加快,越来越多的安全问题一一暴露,零售商和黑产之间的战争只会越发激烈。在这场斗争中,零售决策者们必须把对安全问题的关注提升到新的高度,因为这极有可能决定一个企业发展的天花板在哪里。刚刚转向电商的传统零售商们,在零售红海中迎着数字化转型大潮,面对着来势汹汹、弹药充足的黑产军团,或许要试着将自己的后背交给专业的安全厂商,才能将数量庞大的 " 牛马羊 " 黑产群体斩在马下。
来源:商界