購物節前夕。

家樂(lè )福信息安全負責人老袁提高了警惕，經(jīng)歷過(guò)五次與DDoS、羊毛黨和黃牛黨的短兵相接的他，深知購物節前后是電商安全人員最緊繃的時(shí)候，大群“牛羊”們摩拳擦掌，等著(zhù)收割各種優(yōu)惠品、代金券，一場(chǎng)線(xiàn)上攻防戰說(shuō)來(lái)就來(lái)。

不出意料，購物節當天的早晨，他接到有關(guān)同事的消息，說(shuō)遭遇了短信炸彈攻擊，短信網(wǎng)關(guān)接近8點(diǎn)時(shí)并發(fā)量突然超過(guò)平時(shí)的十倍，一個(gè)小時(shí)后便恢復正常。這正好是家樂(lè )福從原來(lái)的WAF(Web應用防火墻)升級到了騰訊云WAF的第二天。

短信炸彈是羊毛黨、黃牛黨們最鐘愛(ài)的武器之一，頗讓他頭疼。短信炸彈，簡(jiǎn)單來(lái)說(shuō)就是利用網(wǎng)絡(luò )中的第三方接口無(wú)限發(fā)送轟炸短信。

而對于電商而言，調用短信接口是要收取“買(mǎi)路財”的，多則一毛、兩毛，少則幾分，如果這個(gè)數量，在單個(gè)IP上變成了平常的十倍、百倍，再出現無(wú)數個(gè)這樣的異常IP，企業(yè)就要為這些短信接口的濫用付出巨額“通道費”。

更可怕的是，如果用戶(hù)在一天之內收到幾十上百條來(lái)自“家樂(lè )福”的短信，分分鐘會(huì )當場(chǎng)卸載這個(gè)APP。

戰斗，一忌輕視對手，二忌經(jīng)驗不足，三忌戰術(shù)單薄。

雖然只是短短一小時(shí)的異常，但憑借多年跟黑產(chǎn)交鋒的職業(yè)嗅覺(jué)和歷史教訓——他的前東家曾在春節檔被短信炸彈攻擊到每天損失十幾萬(wàn)——老袁還是察覺(jué)到了一絲詭異，這很可能是黑產(chǎn)對于對手戰力“投石問(wèn)路”式的試探，如果一時(shí)麻痹大意，很可能會(huì )引來(lái)更大規模的挑釁和進(jìn)攻。

經(jīng)過(guò)和騰訊云安全WAF團隊確認和交流，老袁發(fā)現這是騰訊云WAF非常典型的業(yè)務(wù)場(chǎng)景，簡(jiǎn)單來(lái)說(shuō)，就是黑產(chǎn)撞到了槍口上。騰訊云安全團隊向老袁分享了類(lèi)似攻擊事件的防護經(jīng)驗，并且再次講解了騰訊云WAF在BOT行為中的防護原理。

武器在手，軍師在后，老袁決定上陣迎戰。他登陸進(jìn)騰訊云WAF去查看行為分析數據后，發(fā)現在當天凌晨和早上接近9點(diǎn)時(shí)，短信API接口的訪(fǎng)問(wèn)頻次異常高，再展開(kāi)細化日志分析，有多個(gè)IP以每分鐘高達470-500次的速度進(jìn)行訪(fǎng)問(wèn)——這顯然不是正常人類(lèi)的速度，看不到盡頭的網(wǎng)線(xiàn)背后，可能是一個(gè)用心險惡的黑產(chǎn)軍團。

一般搞電商的企業(yè)都熟悉且困擾于兩類(lèi)攻擊。

一種是典型CC攻擊，這是一種針對網(wǎng)頁(yè)的攻擊，原理是模擬多個(gè)用戶(hù)正常訪(fǎng)問(wèn)目標網(wǎng)站，例如制造大量后臺數據庫的查詢(xún)動(dòng)作占用正常請求資源。它雞賊之處在于，這種“訪(fǎng)問(wèn)”本身屬于正常請求，但當這種“正常請求”達到一定程度的時(shí)候，服務(wù)器就會(huì )反應不過(guò)來(lái)直到宕機，也就是APP會(huì )出現反應慢、賬號登錄不成功、無(wú)法下單、白屏等現象。這也是為什么每次購物節當大家忙著(zhù)剁手的時(shí)候，各大電商的機房燈火通明，程序員軟件硬件都用上外加緊張觀(guān)察，就是怕服務(wù)器崩掉了帶來(lái)慘重損失。

這次的“短信炸彈”可以理解成一次CC攻擊，老袁第一時(shí)間對遭攻擊的短信接口做了騰訊云WAF的“前剎車(chē)”防護，也就是設置了CC防護的規則，把對短信接口訪(fǎng)問(wèn)上限定為每分鐘150次，超過(guò)這個(gè)閾值的IP，騰訊云WAF會(huì )根據算法第一時(shí)間判斷究竟是真人還是機器訪(fǎng)問(wèn)，被判斷為機器的IP將會(huì )被封禁訪(fǎng)問(wèn)，這也是騰訊云WAF自帶可選的懲罰機制。

但一場(chǎng)漂亮的戰役，不應該只是城樓退敵，更應斷其后路。

CC攻擊往往只是敵人的先行兵，更可怕的是后續可能會(huì )出現的慢BOT攻擊。這種戰術(shù)更有耐心且隱蔽，敵人會(huì )仔細偵查對外開(kāi)放的每一個(gè)接口，對開(kāi)銷(xiāo)較大的接口，以較慢的速度長(cháng)時(shí)間“掛”在你家的網(wǎng)上，消耗大量資源。

舉個(gè)例子，假設一個(gè)正常的客人訪(fǎng)問(wèn)家樂(lè )福網(wǎng)上商城，完整地經(jīng)歷了注冊、登錄、不小心忘記密碼、支付等驗證環(huán)節，他可能一天內接收不超過(guò)20次來(lái)自家樂(lè )福的短信，但他不會(huì )天天重復這些環(huán)節——可是黑產(chǎn)會(huì )，他會(huì )肆無(wú)忌憚地使用注冊軟件和隨時(shí)號碼反復調用接口，同時(shí)黑產(chǎn)會(huì )發(fā)動(dòng)羊毛黨把調用次數進(jìn)行幾何級放大，像一群虎視眈眈又極有耐心的禿鷲，終有一天你會(huì )扛不住，那就是我啄食的時(shí)機。這樣對網(wǎng)站的損傷也非常大。

考慮到這種情況，老袁的團隊開(kāi)始啟用之前和騰訊云WAF團隊交流時(shí)重點(diǎn)關(guān)注的BOT管理功能，使用BOT行為管理進(jìn)行安全策略定制，將每個(gè)用戶(hù)每天訪(fǎng)問(wèn)短信端口次數超20次以上的會(huì )話(huà)統統攔截，相當于開(kāi)啟了“后剎車(chē)”。

懂行的人都知道，WAF的攔截屬于“硬核殺傷”，當觸發(fā)了它的閾值，用戶(hù)IP就會(huì )被鐵面無(wú)私地直接封掉;同時(shí)它又是一件可以動(dòng)態(tài)調試的武器。騰訊云WAF采用自研基于概率圖的威脅AI技術(shù)，一方面可以更精準地攔截攻擊;同時(shí)通過(guò)行為分析和對具體業(yè)務(wù)場(chǎng)景設置動(dòng)態(tài)防護策略，在不斷對抗過(guò)程中，會(huì )摸清黑產(chǎn)的攻擊策略，將其置之死地。整個(gè)過(guò)程，幫助客戶(hù)梳理清楚業(yè)務(wù)邏輯，為業(yè)務(wù)調整優(yōu)化提供依據，這就是騰訊云WAF使用策略中的第三道防線(xiàn)。

老袁在這個(gè)過(guò)程中也稍稍栽了下跟頭——攔截CC和BOT攻擊的時(shí)候，只考慮到攔截同一個(gè)IP的異常訪(fǎng)問(wèn)，卻忽略掉在顧客在大賣(mài)場(chǎng)、在咖啡廳里使用公共WIFI訪(fǎng)問(wèn)網(wǎng)上商城的“共享式IP”場(chǎng)景。意識到這個(gè)問(wèn)題后，他們迅速調整代碼邏輯，對每個(gè)用戶(hù)使用短信接口場(chǎng)景進(jìn)行優(yōu)化，這個(gè)小小的插曲很快被解決。

設下以上的“三道防線(xiàn)”后，家樂(lè )福網(wǎng)上商城當天幾乎是立刻止血，不再出現短信接口的異常訪(fǎng)問(wèn)!

第一場(chǎng)交鋒家樂(lè )福的輕松取勝，讓本想挑釁的黑產(chǎn)團伙惱羞成怒，兩天以后的早晨八點(diǎn)——看來(lái)這是這個(gè)黑產(chǎn)團伙頗為偏愛(ài)的時(shí)間點(diǎn)——家樂(lè )福的線(xiàn)下門(mén)店正在搞活動(dòng)，老袁的手機再次被打爆，說(shuō)是公司的APP嚴重卡死、白屏。黑產(chǎn)團伙開(kāi)始對家樂(lè )福的特定幾個(gè)URL，發(fā)起持續猛烈的攻擊，訪(fǎng)問(wèn)量超過(guò)700萬(wàn)次，導致服務(wù)器壓力增大，出口業(yè)務(wù)的帶寬被打滿(mǎn)，正常用戶(hù)沒(méi)辦法訪(fǎng)問(wèn)APP和網(wǎng)頁(yè)，用行話(huà)說(shuō)，家樂(lè )福的網(wǎng)站被“核”了。

黑產(chǎn)主要從以下四條“小道”進(jìn)行突擊猛攻：首先是狂刷用戶(hù)行為采集的接口，頻率高達300-400次每秒，這個(gè)接口主要是記錄用戶(hù)訪(fǎng)問(wèn)家樂(lè )福APP的行為，再寫(xiě)入數據庫;二是瞄準APP版本檢查接口，也就是模仿一個(gè)過(guò)分焦慮的強迫癥者，一遍遍刷新查詢(xún)版本有沒(méi)有更新，每天超過(guò)幾百萬(wàn)次，導致APP帶寬被惡意消耗掉;三和四分別是查看商品庫存和查看購物車(chē)，派機器人一遍遍去看商品還剩多少、購物車(chē)里有啥，讓數據庫讀寫(xiě)高到爆滿(mǎn)。

可以說(shuō)，為了在這個(gè)購物節里打垮家樂(lè )福，黑產(chǎn)團隊也是傾巢而出，用上了最前沿的技術(shù)，大有不死不休的架勢。

老袁再次用“三道防線(xiàn)”的策略迎戰，而且這次，他跟他手上的武器已經(jīng)培養出了默契。騰訊云WAF本身具備WAF的通用特性——硬核殺傷，而且更敏捷、更精準，忠實(shí)于“戰士們”設定的CC防護規則和BOT策略，你讓我攔誰(shuí)我就不留情面地把符合條件的人統統攔截，反手還要送他們的IP一個(gè)查封。

但只要戰術(shù)得當，這把硬核武器可以完成溫柔的“殺戮”，把黑產(chǎn)攔在門(mén)外，同時(shí)保證正常用戶(hù)訪(fǎng)問(wèn)，這也是家樂(lè )福最后贏(yíng)下這場(chǎng)硬仗的制勝關(guān)鍵：設計CC防護和BOT防護規則的過(guò)程中，還要理順代碼邏輯，并且結合實(shí)際的業(yè)務(wù)場(chǎng)景進(jìn)行針對性的規則調整，剩下的交給WAF，兵不血刃便已退敵千里。

值得一提的是，騰訊云WAF對于觸犯規則被封禁的IP，也不是痛打落水狗式的一棍打死、徹底封禁，而是三天后自動(dòng)解封——這么做的策略主要在于防止這些IP落到真實(shí)用戶(hù)的手里，導致真正的金主爸爸無(wú)辜被擋在門(mén)外;而如果IP一直攥在黑客手里，那好辦，一直封禁一直爽,這樣的IP會(huì )被放入到騰訊云安全的威脅情報數據庫，讓黑客無(wú)法利用該IP為非作歹。

隨著(zhù)數字化轉型的加快，越來(lái)越多的安全問(wèn)題一一暴露，零售商和黑產(chǎn)之間的戰爭只會(huì )越發(fā)激烈。在這場(chǎng)斗爭中，零售決策者們必須把對安全問(wèn)題的關(guān)注提升到新的高度，因為這極有可能決定一個(gè)企業(yè)發(fā)展的天花板在哪里。剛剛轉向電商的傳統零售商們，在零售紅海中迎著(zhù)數字化轉型大潮，面對著(zhù)來(lái)勢洶洶、彈藥充足的黑產(chǎn)軍團，或許要試著(zhù)將自己的后背交給專(zhuān)業(yè)的安全廠(chǎng)商，才能將數量龐大的“牛馬羊”黑產(chǎn)群體斬在馬下。

本文來(lái)源：零售商業(yè)評論