分析oss资源监控数据,看看是否存在恶意ip异常请求oss资源,资源监控路径:控制台—oss—具体bucket—热点统计—top ip
或者直接分析oss日志,获取得到ip访问top情况,日志分析可以通过日志分析工具进行,如awk,过滤非cdn 回源请求的top ip :cat rplog-rabbitpre2017-04-20-20-00-00-0001 |awk '{if ($(nf-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20 ;
[1] 如果bucket私有
1] 建议迁移数据到新的bucket中,新的bucket私有,通过开启waf/高防 防护的自定义域名对外服务,如何为bucket开启waf/高防防护看《二、高防/waf如何防护oss资源》
[2] 如果bucket公共读
1] 可以bucket私有对外提供签名url访问(需要业务端集成签名算法有一定开发成本),bucket私有可以增加恶意下载的成本;
2] 或者迁移数据到另外的bucket中,通过开启waf/高防防护的自定义域名对外服务,如何为bucket开启waf/高防防护看《二、高防/waf如何防护oss资源》(推荐);
3] 或者迁移数据到另外的bucket中,再使用自定义域名对外服务,开启cdn加速,利用cdn的 ip黑名单 进行限制访问,cdn ip黑名单存在条数限制;
分析oss资源监控数据,看看是否存在恶意referer异常请求oss资源,资源监控路径:控制台—oss—具体bucket—热点统计—refer
或者直接分析oss日志,获取得到refer访问top情况,日志分析可以通过日志分析工具进行,如awk等
控制台——oss——具体bucket——基础设置中进行referer设置referer加白需求的域名,恶意referer域名不进行加白,那么恶意referer就不能正常访问对应的oss资源了的。
3) 在域名服务商那边增加cname 解析,解析到高防提供的cname 地址上即可
3) 在域名服务商那边增加cname 解析,解析到waf提供的cname地址上