分析oss資源監控資料,看看是否存在惡意ip異常請求oss資源,資源監控路徑:控制台—oss—具體bucket—熱點統計—top ip
或者直接分析oss日志,擷取得到ip通路top情況,日志分析可以通過日志分析工具進行,如awk,過濾非cdn 回源請求的top ip :cat rplog-rabbitpre2017-04-20-20-00-00-0001 |awk '{if ($(nf-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20 ;
[1] 如果bucket私有
1] 建議遷移資料到新的bucket中,新的bucket私有,通過開啟waf/高防 防護的自定義域名對外服務,如何為bucket開啟waf/高防防護看《二、高防/waf如何防護oss資源》
[2] 如果bucket公共讀
1] 可以bucket私有對外提供簽名url通路(需要業務端內建簽名算法有一定開發成本),bucket私有可以增加惡意下載下傳的成本;
2] 或者遷移資料到另外的bucket中,通過開啟waf/高防防護的自定義域名對外服務,如何為bucket開啟waf/高防防護看《二、高防/waf如何防護oss資源》(推薦);
3] 或者遷移資料到另外的bucket中,再使用自定義域名對外服務,開啟cdn加速,利用cdn的 ip黑名單 進行限制通路,cdn ip黑名單存在條數限制;
分析oss資源監控資料,看看是否存在惡意referer異常請求oss資源,資源監控路徑:控制台—oss—具體bucket—熱點統計—refer
或者直接分析oss日志,擷取得到refer通路top情況,日志分析可以通過日志分析工具進行,如awk等
控制台——oss——具體bucket——基礎設定中進行referer設定referer加白需求的域名,惡意referer域名不進行加白,那麼惡意referer就不能正常通路對應的oss資源了的。
3) 在域名服務商那邊增加cname 解析,解析到高防提供的cname 位址上即可
3) 在域名服務商那邊增加cname 解析,解析到waf提供的cname位址上