阿裡雲Web應用防火牆接入案例分享之http流量劫持

一、概述

  在日常使用阿裡雲Web應用防火牆的使用者中，會出現一些對WAF上域名發起http請求時被流量劫持的情況，通過對這些問題案例的梳理，總結了相關方案供大家參考。

二、案例

2.1 案例一

2.1.1 問題背景

  某教育門戶網站使用海外WAF進行日常web攻擊及安全掃描的防護，回報海外使用者無法通路相關二級子域名，國内使用者通路無異常。

2.1.2 處理過程

  首先通過網站測試工具進行網站可用性檢查(例如雲監控、17ce、聽雲等)，測試結果與使用者回報一緻，海外測試點無法打開網站http首頁，再通過海外測試機器進行curl檢查，http請求無響應内容，https可以正常通路，于是定位為海外地區發生了http請求的流量劫持。

2.1.3 問題處理

  由于使用者的流量劫持情況在大部分海外區域都有出現，初步懷疑劫持發生在近WAF節點的營運商路由側，同時WAF支援域名開啟獨享IP功能(獨享IP功能參考：

https://help.aliyun.com/document_detail/57344.html?spm=5176.10695662.1996646101.searchclickresult.4ffc40e3v409Cy)

，通過開啟域名的獨享IP後相當于域名流量發生了路由變動，進而有可能規避發生劫持情況的路由節點，與使用者同步相關方案并被采納，使用者開啟獨享IP後問題收斂。

2.2 案例二

2.2.1 問題背景

  某資訊資訊類網站使用海外WAF進行網站防護，回報從國内部分區域通路網站會跳轉到非法博彩網站，海外通路沒有異常。

2.2.2 處理過程

  通過測試發現網站的http請求會被強制跳轉到其他博彩網站，直接發起https請求能正常顯示網站；同時開啟WAF的獨享IP功能隻能在短時間内問題收斂，分析該使用者的流量劫持發生在國際出口處。

2.2.3 問題處理

  由于更換IP無法根本解決使用者該問題，建議使用者使用WAF的https強制跳轉功能(即HSTS)見圖1，通過開啟HSTS來強制用戶端在第一次成功通路網站後都使用https的方式，但是在第一次使用http來通路網站時仍有可能發生劫持風險，是以可以使用HSTS preload list來進行規避；HSTS preload list是浏覽器預置的一個域名清單，隻要是在這個清單裡的域名，浏覽器都隻使用HTTPS發起連接配接，可以通過其官網進行申請。

圖一

三、結束語

  本期介紹的兩個案例均與http流量劫持有關，雖然場景上有所不同，但通過WAF産品自身的獨享IP和https強制跳轉(HSTS)能夠比較好的解決此類問題。

  在遇到緊急問題時，您可以及時聯系WAF産品技術支援進行協助：

https://help.aliyun.com/knowledge_detail/42193.html?spm=a2c4g.11186631.2.10.76f64a58lWsQXD

。