購(gòu)物節(jié)前夕。

家樂(lè)福信息安全負(fù)責(zé)人老袁提高了警惕，經(jīng)歷過(guò)五次與DDoS、羊毛黨和黃牛黨的短兵相接的他，深知購(gòu)物節(jié)前后是電商安全人員最緊繃的時(shí)候，大群“牛羊”們摩拳擦掌，等著收割各種優(yōu)惠品、代金券，一場(chǎng)線上攻防戰(zhàn)說(shuō)來(lái)就來(lái)。

不出意料，購(gòu)物節(jié)當(dāng)天的早晨，他接到有關(guān)同事的消息，說(shuō)遭遇了短信炸彈攻擊，短信網(wǎng)關(guān)接近8點(diǎn)時(shí)并發(fā)量突然超過(guò)平時(shí)的十倍，一個(gè)小時(shí)后便恢復(fù)正常。這正好是家樂(lè)福從原來(lái)的WAF(Web應(yīng)用防火墻)升級(jí)到了騰訊云WAF的第二天。

短信炸彈是羊毛黨、黃牛黨們最鐘愛(ài)的武器之一，頗讓他頭疼。短信炸彈，簡(jiǎn)單來(lái)說(shuō)就是利用網(wǎng)絡(luò)中的第三方接口無(wú)限發(fā)送轟炸短信。

而對(duì)于電商而言，調(diào)用短信接口是要收取“買(mǎi)路財(cái)”的，多則一毛、兩毛，少則幾分，如果這個(gè)數(shù)量，在單個(gè)IP上變成了平常的十倍、百倍，再出現(xiàn)無(wú)數(shù)個(gè)這樣的異常IP，企業(yè)就要為這些短信接口的濫用付出巨額“通道費(fèi)”。

更可怕的是，如果用戶在一天之內(nèi)收到幾十上百條來(lái)自“家樂(lè)福”的短信，分分鐘會(huì)當(dāng)場(chǎng)卸載這個(gè)APP。

戰(zhàn)斗，一忌輕視對(duì)手，二忌經(jīng)驗(yàn)不足，三忌戰(zhàn)術(shù)單薄。

雖然只是短短一小時(shí)的異常，但憑借多年跟黑產(chǎn)交鋒的職業(yè)嗅覺(jué)和歷史教訓(xùn)——他的前東家曾在春節(jié)檔被短信炸彈攻擊到每天損失十幾萬(wàn)——老袁還是察覺(jué)到了一絲詭異，這很可能是黑產(chǎn)對(duì)于對(duì)手戰(zhàn)力“投石問(wèn)路”式的試探，如果一時(shí)麻痹大意，很可能會(huì)引來(lái)更大規(guī)模的挑釁和進(jìn)攻。

經(jīng)過(guò)和騰訊云安全WAF團(tuán)隊(duì)確認(rèn)和交流，老袁發(fā)現(xiàn)這是騰訊云WAF非常典型的業(yè)務(wù)場(chǎng)景，簡(jiǎn)單來(lái)說(shuō)，就是黑產(chǎn)撞到了槍口上。騰訊云安全團(tuán)隊(duì)向老袁分享了類(lèi)似攻擊事件的防護(hù)經(jīng)驗(yàn)，并且再次講解了騰訊云WAF在BOT行為中的防護(hù)原理。

武器在手，軍師在后，老袁決定上陣迎戰(zhàn)。他登陸進(jìn)騰訊云WAF去查看行為分析數(shù)據(jù)后，發(fā)現(xiàn)在當(dāng)天凌晨和早上接近9點(diǎn)時(shí)，短信API接口的訪問(wèn)頻次異常高，再展開(kāi)細(xì)化日志分析，有多個(gè)IP以每分鐘高達(dá)470-500次的速度進(jìn)行訪問(wèn)——這顯然不是正常人類(lèi)的速度，看不到盡頭的網(wǎng)線背后，可能是一個(gè)用心險(xiǎn)惡的黑產(chǎn)軍團(tuán)。

一般搞電商的企業(yè)都熟悉且困擾于兩類(lèi)攻擊。

一種是典型CC攻擊，這是一種針對(duì)網(wǎng)頁(yè)的攻擊，原理是模擬多個(gè)用戶正常訪問(wèn)目標(biāo)網(wǎng)站，例如制造大量后臺(tái)數(shù)據(jù)庫(kù)的查詢動(dòng)作占用正常請(qǐng)求資源。它雞賊之處在于，這種“訪問(wèn)”本身屬于正常請(qǐng)求，但當(dāng)這種“正常請(qǐng)求”達(dá)到一定程度的時(shí)候，服務(wù)器就會(huì)反應(yīng)不過(guò)來(lái)直到宕機(jī)，也就是APP會(huì)出現(xiàn)反應(yīng)慢、賬號(hào)登錄不成功、無(wú)法下單、白屏等現(xiàn)象。這也是為什么每次購(gòu)物節(jié)當(dāng)大家忙著剁手的時(shí)候，各大電商的機(jī)房燈火通明，程序員軟件硬件都用上外加緊張觀察，就是怕服務(wù)器崩掉了帶來(lái)慘重?fù)p失。

這次的“短信炸彈”可以理解成一次CC攻擊，老袁第一時(shí)間對(duì)遭攻擊的短信接口做了騰訊云WAF的“前剎車(chē)”防護(hù)，也就是設(shè)置了CC防護(hù)的規(guī)則，把對(duì)短信接口訪問(wèn)上限定為每分鐘150次，超過(guò)這個(gè)閾值的IP，騰訊云WAF會(huì)根據(jù)算法第一時(shí)間判斷究竟是真人還是機(jī)器訪問(wèn)，被判斷為機(jī)器的IP將會(huì)被封禁訪問(wèn)，這也是騰訊云WAF自帶可選的懲罰機(jī)制。

但一場(chǎng)漂亮的戰(zhàn)役，不應(yīng)該只是城樓退敵，更應(yīng)斷其后路。

CC攻擊往往只是敵人的先行兵，更可怕的是后續(xù)可能會(huì)出現(xiàn)的慢BOT攻擊。這種戰(zhàn)術(shù)更有耐心且隱蔽，敵人會(huì)仔細(xì)偵查對(duì)外開(kāi)放的每一個(gè)接口，對(duì)開(kāi)銷(xiāo)較大的接口，以較慢的速度長(zhǎng)時(shí)間“掛”在你家的網(wǎng)上，消耗大量資源。

舉個(gè)例子，假設(shè)一個(gè)正常的客人訪問(wèn)家樂(lè)福網(wǎng)上商城，完整地經(jīng)歷了注冊(cè)、登錄、不小心忘記密碼、支付等驗(yàn)證環(huán)節(jié)，他可能一天內(nèi)接收不超過(guò)20次來(lái)自家樂(lè)福的短信，但他不會(huì)天天重復(fù)這些環(huán)節(jié)——可是黑產(chǎn)會(huì)，他會(huì)肆無(wú)忌憚地使用注冊(cè)軟件和隨時(shí)號(hào)碼反復(fù)調(diào)用接口，同時(shí)黑產(chǎn)會(huì)發(fā)動(dòng)羊毛黨把調(diào)用次數(shù)進(jìn)行幾何級(jí)放大，像一群虎視眈眈又極有耐心的禿鷲，終有一天你會(huì)扛不住，那就是我啄食的時(shí)機(jī)。這樣對(duì)網(wǎng)站的損傷也非常大。

考慮到這種情況，老袁的團(tuán)隊(duì)開(kāi)始啟用之前和騰訊云WAF團(tuán)隊(duì)交流時(shí)重點(diǎn)關(guān)注的BOT管理功能，使用BOT行為管理進(jìn)行安全策略定制，將每個(gè)用戶每天訪問(wèn)短信端口次數(shù)超20次以上的會(huì)話統(tǒng)統(tǒng)攔截，相當(dāng)于開(kāi)啟了“后剎車(chē)”。

懂行的人都知道，WAF的攔截屬于“硬核殺傷”，當(dāng)觸發(fā)了它的閾值，用戶IP就會(huì)被鐵面無(wú)私地直接封掉;同時(shí)它又是一件可以動(dòng)態(tài)調(diào)試的武器。騰訊云WAF采用自研基于概率圖的威脅AI技術(shù)，一方面可以更精準(zhǔn)地?cái)r截攻擊;同時(shí)通過(guò)行為分析和對(duì)具體業(yè)務(wù)場(chǎng)景設(shè)置動(dòng)態(tài)防護(hù)策略，在不斷對(duì)抗過(guò)程中，會(huì)摸清黑產(chǎn)的攻擊策略，將其置之死地。整個(gè)過(guò)程，幫助客戶梳理清楚業(yè)務(wù)邏輯，為業(yè)務(wù)調(diào)整優(yōu)化提供依據(jù)，這就是騰訊云WAF使用策略中的第三道防線。

老袁在這個(gè)過(guò)程中也稍稍栽了下跟頭——攔截CC和BOT攻擊的時(shí)候，只考慮到攔截同一個(gè)IP的異常訪問(wèn)，卻忽略掉在顧客在大賣(mài)場(chǎng)、在咖啡廳里使用公共WIFI訪問(wèn)網(wǎng)上商城的“共享式IP”場(chǎng)景。意識(shí)到這個(gè)問(wèn)題后，他們迅速調(diào)整代碼邏輯，對(duì)每個(gè)用戶使用短信接口場(chǎng)景進(jìn)行優(yōu)化，這個(gè)小小的插曲很快被解決。

設(shè)下以上的“三道防線”后，家樂(lè)福網(wǎng)上商城當(dāng)天幾乎是立刻止血，不再出現(xiàn)短信接口的異常訪問(wèn)!

第一場(chǎng)交鋒家樂(lè)福的輕松取勝，讓本想挑釁的黑產(chǎn)團(tuán)伙惱羞成怒，兩天以后的早晨八點(diǎn)——看來(lái)這是這個(gè)黑產(chǎn)團(tuán)伙頗為偏愛(ài)的時(shí)間點(diǎn)——家樂(lè)福的線下門(mén)店正在搞活動(dòng)，老袁的手機(jī)再次被打爆，說(shuō)是公司的APP嚴(yán)重卡死、白屏。黑產(chǎn)團(tuán)伙開(kāi)始對(duì)家樂(lè)福的特定幾個(gè)URL，發(fā)起持續(xù)猛烈的攻擊，訪問(wèn)量超過(guò)700萬(wàn)次，導(dǎo)致服務(wù)器壓力增大，出口業(yè)務(wù)的帶寬被打滿，正常用戶沒(méi)辦法訪問(wèn)APP和網(wǎng)頁(yè)，用行話說(shuō)，家樂(lè)福的網(wǎng)站被“核”了。

黑產(chǎn)主要從以下四條“小道”進(jìn)行突擊猛攻：首先是狂刷用戶行為采集的接口，頻率高達(dá)300-400次每秒，這個(gè)接口主要是記錄用戶訪問(wèn)家樂(lè)福APP的行為，再寫(xiě)入數(shù)據(jù)庫(kù);二是瞄準(zhǔn)APP版本檢查接口，也就是模仿一個(gè)過(guò)分焦慮的強(qiáng)迫癥者，一遍遍刷新查詢版本有沒(méi)有更新，每天超過(guò)幾百萬(wàn)次，導(dǎo)致APP帶寬被惡意消耗掉;三和四分別是查看商品庫(kù)存和查看購(gòu)物車(chē)，派機(jī)器人一遍遍去看商品還剩多少、購(gòu)物車(chē)?yán)镉猩?，讓?shù)據(jù)庫(kù)讀寫(xiě)高到爆滿。

可以說(shuō)，為了在這個(gè)購(gòu)物節(jié)里打垮家樂(lè)福，黑產(chǎn)團(tuán)隊(duì)也是傾巢而出，用上了最前沿的技術(shù)，大有不死不休的架勢(shì)。

老袁再次用“三道防線”的策略迎戰(zhàn)，而且這次，他跟他手上的武器已經(jīng)培養(yǎng)出了默契。騰訊云WAF本身具備WAF的通用特性——硬核殺傷，而且更敏捷、更精準(zhǔn)，忠實(shí)于“戰(zhàn)士們”設(shè)定的CC防護(hù)規(guī)則和BOT策略，你讓我攔誰(shuí)我就不留情面地把符合條件的人統(tǒng)統(tǒng)攔截，反手還要送他們的IP一個(gè)查封。

但只要戰(zhàn)術(shù)得當(dāng)，這把硬核武器可以完成溫柔的“殺戮”，把黑產(chǎn)攔在門(mén)外，同時(shí)保證正常用戶訪問(wèn)，這也是家樂(lè)福最后贏下這場(chǎng)硬仗的制勝關(guān)鍵：設(shè)計(jì)CC防護(hù)和BOT防護(hù)規(guī)則的過(guò)程中，還要理順代碼邏輯，并且結(jié)合實(shí)際的業(yè)務(wù)場(chǎng)景進(jìn)行針對(duì)性的規(guī)則調(diào)整，剩下的交給WAF，兵不血刃便已退敵千里。

值得一提的是，騰訊云WAF對(duì)于觸犯規(guī)則被封禁的IP，也不是痛打落水狗式的一棍打死、徹底封禁，而是三天后自動(dòng)解封——這么做的策略主要在于防止這些IP落到真實(shí)用戶的手里，導(dǎo)致真正的金主爸爸無(wú)辜被擋在門(mén)外;而如果IP一直攥在黑客手里，那好辦，一直封禁一直爽,這樣的IP會(huì)被放入到騰訊云安全的威脅情報(bào)數(shù)據(jù)庫(kù)，讓黑客無(wú)法利用該IP為非作歹。

隨著數(shù)字化轉(zhuǎn)型的加快，越來(lái)越多的安全問(wèn)題一一暴露，零售商和黑產(chǎn)之間的戰(zhàn)爭(zhēng)只會(huì)越發(fā)激烈。在這場(chǎng)斗爭(zhēng)中，零售決策者們必須把對(duì)安全問(wèn)題的關(guān)注提升到新的高度，因?yàn)檫@極有可能決定一個(gè)企業(yè)發(fā)展的天花板在哪里。剛剛轉(zhuǎn)向電商的傳統(tǒng)零售商們，在零售紅海中迎著數(shù)字化轉(zhuǎn)型大潮，面對(duì)著來(lái)勢(shì)洶洶、彈藥充足的黑產(chǎn)軍團(tuán)，或許要試著將自己的后背交給專(zhuān)業(yè)的安全廠商，才能將數(shù)量龐大的“牛馬羊”黑產(chǎn)群體斬在馬下。

本文來(lái)源：零售商業(yè)評(píng)論