如何配置自訂防護策略防ESA被盜刷量 - Edge Security Acceleration

當您的網域名稱因被惡意攻擊或流量被惡意盜刷，產生了突發高頻寬或者大流量消耗，導致產生高於日常金額且無法進行免除/退款的高額賬單。為盡量避免此類風險，您可以通過存取控制、WAF防護等方式對異常攻擊進行攔截。

背景

近年來隨著互連網行業的飛速發展，互連網流量盜刷的安全事件呈現逐漸上升的趨勢。由於邊緣安全加速 ESA業務本身是為了提升使用者體驗、加速資源訪問效率的一種解決方案，其計費邏輯是根據客戶資源下載流量進行計費，即下載量和客戶側付費金額正相關，此時攻擊者的惡意攻擊便會帶來意外的高額費用。

預防措施

設定用量封頂策略

用量封頂意在協助您面對非預期的大流量產生時，根據您設定的行為操作網站資源，避免出現大額後付賬單。使用該功能可能影響服務連續性，請謹慎評估後使用。

在ESA控制台，選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇用量封頂。
在用量封頂頁面，單擊建立規則，填寫規則名稱，設定匹配規則和統計周期。
- 每5分鐘：統計周期為5分鐘的時間視窗。
- 每小時：統計周期為1小時的時間視窗。
- 每天：統計周期為自然日（當日0點到24點）。
- 每月：統計周期為自然月（當月1日至月末最後一天）。
最後選擇執行動作，單擊確定。
- 停用網站：規則建立並在生效時，當流量到達設定的閾值，會觸發停用網站的動作；停用後，網站狀態為下線狀態，加速、安全、計算服務均不可用，會對您的線上業務造成影響，請謹慎使用；建議您適當提高流量閾值，保證網站正常運行。
- 刪除DNS記錄：流量到達閾值後，若您不願將整個網站下線，您可以選擇將網站下某子記錄刪除。
  警告
  刪除子記錄是無法復原行為，系統無法自動回復子記錄，刪除後您需要手動重新添加該記錄及其配置，請謹慎使用該功能！

開啟即時日誌推送

即時日誌投遞通過將 ESA 節點的訪問日誌即時傳輸至分析系統，能夠快速識別盜鏈、突發流量和非法訪問等異常行為，精準定位盜刷來源（如高頻 IP、空 Referer），並結合攔截規則（如封鎖、限速）及時阻斷攻擊，顯著降低頻寬消耗和安全風險，建議開啟即時日誌功能。日誌類型記錄的請求範圍：

日誌類型	日誌採集維度	記錄內容	適用情境
邊緣函數日誌	帳號維度	記錄當前帳號下調用ESA邊緣函數產生的請求資訊。	業務分析與最佳化
邊緣容器日誌	帳號維度	記錄當前帳號下邊緣容器產生的業務日誌。	效能監控使用者行為分析審計與合規
訪問及回源日誌	網站維度	記錄使用者對通過ESA加速的網站或者服務進行訪問時產生的詳細請求資訊以及ESA節點回源進行訪問時產生的詳細資料。	使用者行為分析業務分析與最佳化審計與合規
安全防護日誌		記錄通過ESA網路應用防火牆（WAF）檢測到並進行了攔截處理的所有惡意請求的詳細資料。	安全監控業務分析與最佳化審計與合規
四層代理日誌		記錄通過ESA傳輸層加速功能來傳輸內容的詳細資料。	效能監控業務分析與最佳化
DNS日誌		記錄通過ESA加速的DNS網域名稱解析的詳細請求資訊。	審計與合規 DNS解析變更

盜刷情境

盜刷情境通常涉及多種惡意請求，以下是一些常見的惡意攻擊方式以及應對措施：

攻擊類型	攻擊原理	攻擊特徵	應對措施
偽造User-Agent攻擊	攻擊者通過偽造`User-Agent`欄位發送大量請求，試圖繞過安全檢查。	偽造的`User-Agent`一般有以下幾種：空值。隨機字串。常見瀏覽器的偽造字串。	配置`User-Agent`白名單或黑名單，拒絕非正常的`User-Agent`請求。例如，拒絕空`User-Agent`或不符合規範的隨機字串。
偽造Referer攻擊	攻擊者在要求標頭中偽造`Referer`欄位，以假冒合法的引用來源，進行惡意請求。	`Referer`頭資訊中的URL與被請求資源沒有合理的關係、`Referer`與`User-Agent`不一致等。	配置Referer白名單——允許合法的`Referer`訪問，拒絕帶有惡意`Referer`的請求。例如，僅允許來自你自己的網域名稱的`Referer`訪問。
頻繁請求同一資源	攻擊者在短時間內頻繁請求同一資源（如API介面），導致伺服器負載過高、資源消耗和費用增加。	高頻次請求來自同一個或同幾個IP。	配置頻率限制策略，控制同一IP或同一使用者在單位時間內的請求數量。例如，同一IP每秒鐘最多允許10次請求。配置IP黑白名單，限制訪問源IP。將常見的攻擊IP列入黑名單，將可信的IP列入白名單。
惡意爬蟲和抓取	攻擊者利用惡意爬蟲工具大量抓取網站內容。	針對同一個資源進行高頻請求、請求訪問的特徵以固定規律等。	通過ESA的Bot防護功能，檢測並攔截異常請求和惡意爬蟲。可以通過分析請求特徵（如頻次、請求模式等）來自動識別和阻止惡意行為。

異常排查

ESA為您提供了日誌收集以及分析功能，您可以通過流量分析、離線日誌等方式，對突發流量的時段的資料進行分析並根據異常類型來選擇採取的防護策略。

流量分析

流量分析的資料來源於ESA處理的訪問日誌，這些日誌記錄了每一個經過ESA節點的請求資訊，包括但不限於用戶端IP、請求時間、請求類型、響應狀態等。通過對這些日誌的匯總與分析，ESA能夠提供精準的流量統計與分析報告。

查看與下載報表

在ESA控制台，選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇分析和日誌 > 流量分析。
在流量分析頁面，查看流量統計和分析，也可以點擊表徵圖列印頁面報告或點擊表徵圖將資料以CSV格式下載儲存到本地。您可以通過篩選器來進行篩選，時間選擇自訂時間範圍，選擇日期時間為疑似盜刷的時間段。
在流量分析頁面，您可以看到總流量及ESA響應流量的折線圖，為您提供直觀的流量可視化，協助您更好的分析歷史流量趨勢。
- 總流量：經由ESA向用戶端傳輸的全部流量。
- 總請求數：ESA接收到來自用戶端的全部請求數。
- 頁面瀏覽量：內容類型為HTML的成功HTTP響應數量。
- 指標變化百分比：各資料指標的百分比變化值均為環比值，即目前時間範圍與前一個相同時間範圍的資料環比。如果前一個相同時間範圍沒有資料，則不展示環比變動率。
  例如：如果您選擇的是過去30天時間段，請求數環比增長2.03%，表示過去30天內ESA伺服器收到的請求次數比過去60天到過去30天這30天內增加了2.03%。
您可以利用這一模組深入瞭解流量的地理分布詳情，查看異常流量地區。

流量分析功能為您提供多個維度流量與使用者行為分析。這些模組共同為您提供全面的流量概況與使用者行為洞察，您可以通過選擇相應的時間範圍，查看這些維度詳細資料與可視化展示。
說明
流量分析預設為您展示前Top5的資料，您可以點擊更多查看更多資訊。

離線日誌分析

為全面挖掘盜刷請求的潛在特徵，需對警示時段的離線日誌進行深度解析。通過多欄位交叉分析，可基於源 IP、URL 路徑、請求參數、User-Agent、Referer 來源等維度構建盜刷行為特徵畫像，為後續精準制定應對策略提供資料支撐。

下載離線日誌。
上傳記錄檔至本地Linux系統伺服器。
登入本地Linux系統伺服器，統計檔案中的行數，即請求總次數。
```
wc -l [$Log_Txt]
```
按小時統計訪問量。
```
awk -F' ' '{print \$4}' [$Log_Txt] | sed 's/^\[$.*\/.*\/.*$:$.*$:.*$/\1 \2:00/' | sort | uniq -c | sort -nr | head -n 10
```
統計出來請求總數，確認請求量異常。
重要
以下配置需要參考業務的真實請求，謹慎操作，以免影響您正常使用者。
執行如下命令，查詢訪問量前十的IP。
```
cat [$Log_Txt] | awk '{print $3}' |sort|uniq -c|sort -nr |head -10
```
限制可疑IP訪問，IP訪問規則。

執行如下命令，查詢訪問量前十的User-Agent。

 grep -o '"Mozilla[^"]*' [$Log_Txt] | cut -d'"' -f2 | sed 's/ ANCHASHI-SCAN[^)]*)//g' | sort | uniq -c | sort -nr | head -n 10

過濾可疑User-Agent，自訂規則。

執行如上命令，查詢訪問量前十的路徑。

grep -oP '"https?://[^"]+"' [$Log_Txt] | sort | uniq -c | sort -nr | head -n 10

針對性措施

您可以根據攻擊源的特徵類型來選擇合適的應對措施。在進行異常分析時，有可能會匹配到多種攻擊特徵，您可以同時配置多種防護策略實現全方位的防護。

配置WAF防護規則攔截惡意請求

ESA結合邊緣Web Application FirewallWAF（Web Application Firewall）能力，在ESA節點上提供WAF防護功能，可以有效識別業務流量惡意特徵，將正常、安全的流量回源到伺服器。避免網站伺服器被惡意入侵，保障業務的核心資料安全，解決因惡意攻擊導致的伺服器效能異常問題。

在ESA控制台，選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇安全防護 > WAF。
在概述頁簽的智能限頻地區，單擊配置，開啟狀態開關，選擇合適的防護等級和執行動作。
在概述頁簽的防盜刷地區，單擊配置，開啟狀態開關，選擇合適的執行動作。

若是開啟智能限頻和開啟防盜刷無法滿足您的業務，您可以配置自訂防護策略。

限制請求數

參考頻次控制規則完成規則策略配置。

介面訪問量突增會觸發監控警示，查看即時日誌時，在被攻擊的時間段內，60秒內單IP對該介面訪問量達到3000多次；在未被攻擊時間段內，60秒內單IP訪問該介面最多隻有100次。根據未被攻擊時間段內60秒內訪問頻次的2~3倍配置CC防護策略。

說明

您需要查看即時日誌，定位到被攻擊的資源，對比攻擊時間段和未被攻擊時間段內的訪問頻率，若存在差距可以配置該防護策略。
正常業務中伺服器通過公網介面調用資源，如果存在內網IP被集中訪問，您需要添加IP不被統計的匹配條件。
您需要根據自身業務和即時日誌中攻擊者訪問頻次，調整防護路徑和觸發防護的閾值，以下是配置案例。

配置項	取值樣本	說明
規則名稱	您自訂的規則名稱。名稱需符合：支援使用中文字元、英文字元（大小寫）、數字（0～9）及底線`_`。最多支援64個字元。	/
如果請求匹配以下規則...	URI 包含`/your_path`	針對資源路徑符合`/your_path`的請求進行過濾。
且具有以下相同特徵…	客戶端IP	表示相同的客戶的IP。
且頻次超過…	頻次：300次/1分鐘	表示如果某個用戶端IP在1分鐘內命中匹配條件的次數超過300次，則對該IP觸發黑名單處置。
則執行…	僅對超過頻次的請求執行執行攔截，期間為1小時	表示將命中頻率檢測條件的統計對象加入黑名單，在3600秒內，對來自該對象的所有請求，執行攔截處置。

異常請求攔截

參考自訂規則完成規則策略配置。

說明

針對App情境，正常業務為空白UA，則無需使用該策略。
如果UA取值是App名稱，需要將UA中正常業務的App名稱加入匹配內容。

配置項	取值樣本	說明
規則名稱	您自訂的規則名稱。名稱需符合：支援使用中文字元、英文字元（大小寫）、數字（0~9）及底線（_）。最多支援64個字元。	表示當請求的User-Agent中不包含`Android,iPhone,iPad,Mac,Windows,Linux`時，則請求被攔截。
匹配條件	匹配欄位選擇User-Agent。邏輯符選擇不等於任一值。匹配內容輸入`Android,iPhone,iPad,Mac,Windows,Linux`。
則執行…	操作：選擇攔截。響應的攔截頁面：選擇預設攔截頁面。狀態代碼：403。