雙十一護航團隊說：我們是如何防住5億次Web惡意探索的？

摘要： 11月11日的淩晨1點多左右，阿裡雲安全護航團隊接到一個用戶非常著急的工單需求，稱其大促網頁非常不穩定，“快打不開了“……

11月11日的淩晨1點多左右，阿裡雲安全護航團隊接到一個用戶非常著急的工單需求，稱其大促網頁非常不穩定，“快打不開了“……

阿裡雲護航專家團隊通過日誌剖析，發現了疑似CC惡意探索的特徵。在10秒內開始回應和處置。配合雲上Web套用防火牆的能力，最終在3-5分鐘之內，將多次變著花樣來的CC惡意探索瓦解，讓網站最終回覆了穩定。

這是雙十一當天，阿裡雲安全護航團隊所接觸到的一個典型惡意探索。而這樣被阿裡雲雲盾WAF成功防禦下來的Web惡意探索，在雙十一當天有5億次，誤判、漏報率為0。

除了WAF，阿裡雲的雙十一護航團隊還包括抗DDoS、商務安全、和內容安全等上百位安全專家，為天貓、淘寶，和雲上的物流、電商等用戶，提供安全應急和支援人員。“我們有百人團隊，但也有成千上百的使用者需要同時監控，並且每一個都不能出錯。分攤到每一個人身上，壓力是非常大的”，阿裡雲安全護航團隊的小揚介紹。

掛在雙十一“大門口”的WAF，到底防了什麼？

Web惡意探索，資料爬取，暴力破解和撞庫是WAF防禦的焦點。

Web惡意探索：攻擊者通過發起大量的SQL注入惡意探索要求，嘗試尋找網站的注入點，通過注入點竊取資料庫資料，例如用戶訂單、收貨位址、手機號碼等資訊。這些web惡意探索如果不是有WAF攔截，很可能會造成用戶訂單等敏感歇息洩漏，對商家造成成本、評價和時間上的損失。

資料爬取：惡意爬蟲可爬取大量網站資料，可能會包含敏感性資料，造成資訊洩露。

暴力破解和撞庫：對於物流資訊查詢、用戶登入等閘道的暴力破解和撞庫惡意探索，技術上已經非常成熟，可能造成大量敏感物流資訊、用戶個人資訊洩露。

“每一次惡意探索平靜下來之後，其實我們也是備戰狀態。有的CC惡意探索、暴力破解和撞庫，會持續好幾波，手法也會變樣子，隨時需要警惕。每當處理這樣的惡意探索時，都被用戶‘往死裡催’，我們也非常理解用戶的急切。但做安全護航，我們自己首先需要保留平靜，這就和醫生面對患者家屬一樣。一是因為我們知道，與其不斷地去安慰用戶，不如在最快的時間內解決問題，惡意探索搞定了才是根本。二是因為，每次大促我們面對的是上千用戶，上億次惡意探索，我們有足夠的經驗幫他們平安度過危機。”小揚匯集。

光防禦Web惡意探索不夠，還要能防“搶紅包”

目前，大部分的Web套用防火牆都還是用於防護常見的SQL注入、指令執行、CC等通用型惡意探索。但隨著互連網商務年齡的發展趨勢，暴力登陸、撞庫、垃圾註冊、薅羊毛、惡意搶紅包、惡意註冊……等一系列更貼近商務層面的安全問題逐漸公開凸出。而這些，傳統的Web套用防火牆都還未涉入。

阿裡雲WAF在傳統Web套用防火牆功能基礎上，創新實現了資料風控引擎，可以解決雙十一、雙十二等大型活動期間的惡意搶紅包、撞庫、薅羊毛、惡意掃描等商務安全問題。

WAF在源站回應中注入風控採集腳本，用於採集用戶裝置指紋以及hook使用者佈建的需要防護的網頁。當瀏覽器存取防護網頁時，風控腳本會將裝置指紋等資訊加密後作為參數連結到要求中去。而WAF收到存取防護網頁要求時，將風控參數擷取解密後進行風險決策，如果無風險，放行該要求；如果決策有風險，WAF會攔截並返回滑動驗證網頁。整個互動流程如下圖：

通過資料風控引擎，阿裡雲雲盾WAF可以做到人機辨識，在低頻CC惡意探索、活動薅羊毛、刷簡訊驗證介面、CSRF、惡意爬取等場景有著非常好的效果。

在商務風控這方面，如果沒有雲上的安全情報，企業自己‘搞定’薅羊毛、搶紅包等商務安全問題，成本相對較大。另外，在雙十一、雙十二這樣的活動中，公司會把主要技術經理投射在商務上，也會出現無暇顧及的情況。在這種情況下，阿裡雲護航團隊的支援人員就尤其重要了。

小揚說：“公司如果要自己做好商務風控的話，首先需要有專業的安全團隊對商務做定制化的剖析。比如防止搶紅包，要知道人家‘怎麼搶’——是利用了Web弱點？還是商務邏輯弱點？又或者是用了作弊軟體，模擬真人行為去搶。而每次活動手法又不一樣，光是商務剖析流程下來，耗時就很多了。所以光靠企業自己去做商務風控，在實現上有一定成本。而雲上的威脅情報是即時更新的，我們根據各種搶紅包的作案手法，總結出‘套路’，能夠做到快速回應，對症下藥。我們一般會在每個公司活動開始前一天晚上，先做一些防護預演，把原則備好，等活動開始的時候，就可以持續監測，隨時應急了。”

未來的Web防護技術

未來，也許有其他的安全廠商和CSP，會將WAF和商務風控相結合，讓網路防禦，更貼近實際的商務場景。這一點上，阿裡雲雲盾WAF‘先行一步’——它顛覆了傳統風控需要使用者開發、偵錯、發佈代碼的圖樣，通過Web套用防火牆天然的全流量接管能力優勢，無需用戶修改源碼即可直接使用，無疑給客戶帶來了全所未有的使用者體驗。

而借助商務資料風控的人機辨識以及攔截驗證能力，可以作為雲盾WAF的一道防線。未來，雲盾WAF可以通過商務資料風控服務採集到的資料，辨識用戶身份、評定用戶信譽，對用戶進行更細細微性的畫像。

購買阿裡雲雲盾Web套用防火牆：

https://cn.aliyun.com/product/waf?spm=5176.8142029.388261.114.uVb63y

相關產品：

1. Web套用防火牆
2. 阿裡聚安全
3. 態勢感知
4. 雲端服務器ECS