家乐福迎击黑产,智慧零售时代的一场“暗战”

2019-07-02 14:40:24 商界 分享

莱钢信息港 www.rtfkige.cn 购物节前夕。

家乐福信息安全负责人老袁提高了警惕,经历过五次与 DDoS、羊毛党和黄牛党的短兵相接的他,深知购物节前后是电商安全人员最紧绷的时候,大群 " 牛羊 " 们摩拳擦掌,等着收割各种优惠品、代金券,一场线上攻防战说来就来。

不出意料,购物节当天的早晨,他接到有关同事的消息,说遭遇了短信炸弹攻击,短信网关接近 8 点时并发量突然超过平时的十倍,一个小时后便恢复正常。这正好是家乐福从原来的 WAF ( Web 应用防火墙 ) 升级到了腾讯云 WAF 的第二天。

短信炸弹是羊毛党、黄牛党们最钟爱的武器之一,颇让他头疼。短信炸弹,简单来说就是利用网络中的第三方接口无限发送轰炸短信。

而对于电商而言,调用短信接口是要收取 " 买路财 " 的,多则一毛、两毛,少则几分,如果这个数量,在单个 IP 上变成了平常的十倍、百倍,再出现无数个这样的异常 IP,企业就要为这些短信接口的滥用付出巨额 " 通道费 "。

更可怕的是,如果用户在一天之内收到几十上百条来自 " 家乐福 " 的短信,分分钟会当场卸载这个 APP。

战斗,一忌轻视对手,二忌经验不足,三忌战术单薄。

虽然只是短短一小时的异常,但凭借多年跟黑产交锋的职业嗅觉和历史教训——他的前东家曾在春节档被短信炸弹攻击到每天损失十几万——老袁还是察觉到了一丝诡异,这很可能是黑产对于对手战力 " 投石问路 " 式的试探,如果一时麻痹大意,很可能会引来更大规模的挑衅和进攻。

经过和腾讯云安全 WAF 团队确认和交流,老袁发现这是腾讯云 WAF 非常典型的业务场景,简单来说,就是黑产撞到了枪口上。腾讯云安全团队向老袁分享了类似攻击事件的防护经验,并且再次讲解了腾讯云 WAF 在 BOT 行为中的防护原理。

武器在手,军师在后,老袁决定上阵迎战。他登陆进腾讯云 WAF 去查看行为分析数据后,发现在当天凌晨和早上接近 9 点时,短信 API 接口的访问频次异常高,再展开细化日志分析,有多个 IP 以每分钟高达 470-500 次的速度进行访问——这显然不是正常人类的速度,看不到尽头的网线背后,可能是一个用心险恶的黑产军团。

一般搞电商的企业都熟悉且困扰于两类攻击。

一种是典型 CC 攻击,这是一种针对网页的攻击,原理是模拟多个用户正常访问目标网站,例如制造大量后台数据库的查询动作占用正常请求资源。它鸡贼之处在于,这种 " 访问 " 本身属于正常请求,但当这种 " 正常请求 " 达到一定程度的时候,服务器就会反应不过来直到宕机,也就是 APP 会出现反应慢、账号登录不成功、无法下单、白屏等现象。这也是为什么每次购物节当大家忙着剁手的时候,各大电商的机房灯火通明,程序员软件硬件都用上外加紧张观察,就是怕服务器崩掉了带来惨重损失。

这次的 " 短信炸弹 " 可以理解成一次 CC 攻击,老袁第一时间对遭攻击的短信接口做了腾讯云 WAF 的 " 前刹车 " 防护,也就是设置了 CC 防护的规则,把对短信接口访问上限定为每分钟 150 次,超过这个阈值的 IP,腾讯云 WAF 会根据算法第一时间判断究竟是真人还是机器访问,被判断为机器的 IP 将会被封禁访问,这也是腾讯云 WAF 自带可选的惩?;?。

但一场漂亮的战役,不应该只是城楼退敌,更应断其后路。

CC 攻击往往只是敌人的先行兵,更可怕的是后续可能会出现的慢 BOT 攻击。这种战术更有耐心且隐蔽,敌人会仔细侦查对外开放的每一个接口,对开销较大的接口,以较慢的速度长时间 " 挂 " 在你家的网上,消耗大量资源。

举个例子,假设一个正常的客人访问家乐福网上商城,完整地经历了注册、登录、不小心忘记密码、支付等验证环节,他可能一天内接收不超过 20 次来自家乐福的短信,但他不会天天重复这些环节——可是黑产会,他会肆无忌惮地使用注册软件和随时号码反复调用接口,同时黑产会发动羊毛党把调用次数进行几何级放大,像一群虎视眈眈又极有耐心的秃鹫,终有一天你会扛不住,那就是我啄食的时机。这样对网站的损伤也非常大。

考虑到这种情况,老袁的团队开始启用之前和腾讯云 WAF 团队交流时重点关注的 BOT 管理功能,使用 BOT 行为管理进行安全策略定制,将每个用户每天访问短信端口次数超 20 次以上的会话统统拦截,相当于开启了 " 后刹车 "。

懂行的人都知道,WAF 的拦截属于 " 硬核杀伤 ",当触发了它的阈值,用户 IP 就会被铁面无私地直接封掉 ; 同时它又是一件可以动态调试的武器。腾讯云 WAF 采用自研基于概率图的威胁 AI 技术,一方面可以更精准地拦截攻击 ; 同时通过行为分析和对具体业务场景设置动态防护策略,在不断对抗过程中,会摸清黑产的攻击策略,将其置之死地。整个过程,帮助客户梳理清楚业务逻辑,为业务调整优化提供依据,这就是腾讯云 WAF 使用策略中的第三道防线。

老袁在这个过程中也稍稍栽了下跟头——拦截 CC 和 BOT 攻击的时候,只考虑到拦截同一个 IP 的异常访问,却忽略掉在顾客在大卖场、在咖啡厅里使用公共 WIFI 访问网上商城的 " 共享式 IP" 场景。意识到这个问题后,他们迅速调整代码逻辑,对每个用户使用短信接口场景进行优化,这个小小的插曲很快被解决。

声明:本站部分资源来源于网络,版权归原作者或者来源机构所有,如作者或来源机构不同意本站转载采用,请通知我们,我们将第一时间删除内容。本站刊载文章出于传递更多信息之目的,所刊文章观点仅代表作者本人观点,并不意味着本站赞同作者观点或证实其描述,其原创性及对文章内容的真实性、完整性、及时性本站亦不作任何保证或承诺,请读者仅作参考。
编辑:酷讯