購物節(jié)前夕。

家樂福信息安全負(fù)責(zé)人老袁提高了警惕，經(jīng)歷過五次與DDoS、羊毛黨和黃牛黨的短兵相接的他，深知購物節(jié)前后是電商安全人員最緊繃的時候，大群“牛羊”們摩拳擦掌，等著收割各種優(yōu)惠品、代金券，一場線上攻防戰(zhàn)說來就來。

不出意料，購物節(jié)當(dāng)天的早晨，他接到有關(guān)同事的消息，說遭遇了短信炸彈攻擊，短信網(wǎng)關(guān)接近8點時并發(fā)量突然超過平時的十倍，一個小時后便恢復(fù)正常。這正好是家樂福從原來的WAF(Web應(yīng)用防火墻)升級到了騰訊云WAF的第二天。

短信炸彈是羊毛黨、黃牛黨們最鐘愛的武器之一，頗讓他頭疼。短信炸彈，簡單來說就是利用網(wǎng)絡(luò)中的第三方接口無限發(fā)送轟炸短信。

而對于電商而言，調(diào)用短信接口是要收取“買路財”的，多則一毛、兩毛，少則幾分，如果這個數(shù)量，在單個IP上變成了平常的十倍、百倍，再出現(xiàn)無數(shù)個這樣的異常IP，企業(yè)就要為這些短信接口的濫用付出巨額“通道費”。

更可怕的是，如果用戶在一天之內(nèi)收到幾十上百條來自“家樂福”的短信，分分鐘會當(dāng)場卸載這個APP。

戰(zhàn)斗，一忌輕視對手，二忌經(jīng)驗不足，三忌戰(zhàn)術(shù)單薄。

雖然只是短短一小時的異常，但憑借多年跟黑產(chǎn)交鋒的職業(yè)嗅覺和歷史教訓(xùn)——他的前東家曾在春節(jié)檔被短信炸彈攻擊到每天損失十幾萬——老袁還是察覺到了一絲詭異，這很可能是黑產(chǎn)對于對手戰(zhàn)力“投石問路”式的試探，如果一時麻痹大意，很可能會引來更大規(guī)模的挑釁和進(jìn)攻。

經(jīng)過和騰訊云安全WAF團(tuán)隊確認(rèn)和交流，老袁發(fā)現(xiàn)這是騰訊云WAF非常典型的業(yè)務(wù)場景，簡單來說，就是黑產(chǎn)撞到了槍口上。騰訊云安全團(tuán)隊向老袁分享了類似攻擊事件的防護(hù)經(jīng)驗，并且再次講解了騰訊云WAF在BOT行為中的防護(hù)原理。

武器在手，軍師在后，老袁決定上陣迎戰(zhàn)。他登陸進(jìn)騰訊云WAF去查看行為分析數(shù)據(jù)后，發(fā)現(xiàn)在當(dāng)天凌晨和早上接近9點時，短信API接口的訪問頻次異常高，再展開細(xì)化日志分析，有多個IP以每分鐘高達(dá)470-500次的速度進(jìn)行訪問——這顯然不是正常人類的速度，看不到盡頭的網(wǎng)線背后，可能是一個用心險惡的黑產(chǎn)軍團(tuán)。

一般搞電商的企業(yè)都熟悉且困擾于兩類攻擊。

一種是典型CC攻擊，這是一種針對網(wǎng)頁的攻擊，原理是模擬多個用戶正常訪問目標(biāo)網(wǎng)站，例如制造大量后臺數(shù)據(jù)庫的查詢動作占用正常請求資源。它雞賊之處在于，這種“訪問”本身屬于正常請求，但當(dāng)這種“正常請求”達(dá)到一定程度的時候，服務(wù)器就會反應(yīng)不過來直到宕機，也就是APP會出現(xiàn)反應(yīng)慢、賬號登錄不成功、無法下單、白屏等現(xiàn)象。這也是為什么每次購物節(jié)當(dāng)大家忙著剁手的時候，各大電商的機房燈火通明，程序員軟件硬件都用上外加緊張觀察，就是怕服務(wù)器崩掉了帶來慘重?fù)p失。

這次的“短信炸彈”可以理解成一次CC攻擊，老袁第一時間對遭攻擊的短信接口做了騰訊云WAF的“前剎車”防護(hù)，也就是設(shè)置了CC防護(hù)的規(guī)則，把對短信接口訪問上限定為每分鐘150次，超過這個閾值的IP，騰訊云WAF會根據(jù)算法第一時間判斷究竟是真人還是機器訪問，被判斷為機器的IP將會被封禁訪問，這也是騰訊云WAF自帶可選的懲罰機制。

但一場漂亮的戰(zhàn)役，不應(yīng)該只是城樓退敵，更應(yīng)斷其后路。

CC攻擊往往只是敵人的先行兵，更可怕的是后續(xù)可能會出現(xiàn)的慢BOT攻擊。這種戰(zhàn)術(shù)更有耐心且隱蔽，敵人會仔細(xì)偵查對外開放的每一個接口，對開銷較大的接口，以較慢的速度長時間“掛”在你家的網(wǎng)上，消耗大量資源。

舉個例子，假設(shè)一個正常的客人訪問家樂福網(wǎng)上商城，完整地經(jīng)歷了注冊、登錄、不小心忘記密碼、支付等驗證環(huán)節(jié)，他可能一天內(nèi)接收不超過20次來自家樂福的短信，但他不會天天重復(fù)這些環(huán)節(jié)——可是黑產(chǎn)會，他會肆無忌憚地使用注冊軟件和隨時號碼反復(fù)調(diào)用接口，同時黑產(chǎn)會發(fā)動羊毛黨把調(diào)用次數(shù)進(jìn)行幾何級放大，像一群虎視眈眈又極有耐心的禿鷲，終有一天你會扛不住，那就是我啄食的時機。這樣對網(wǎng)站的損傷也非常大。

考慮到這種情況，老袁的團(tuán)隊開始啟用之前和騰訊云WAF團(tuán)隊交流時重點關(guān)注的BOT管理功能，使用BOT行為管理進(jìn)行安全策略定制，將每個用戶每天訪問短信端口次數(shù)超20次以上的會話統(tǒng)統(tǒng)攔截，相當(dāng)于開啟了“后剎車”。

懂行的人都知道，WAF的攔截屬于“硬核殺傷”，當(dāng)觸發(fā)了它的閾值，用戶IP就會被鐵面無私地直接封掉;同時它又是一件可以動態(tài)調(diào)試的武器。騰訊云WAF采用自研基于概率圖的威脅AI技術(shù)，一方面可以更精準(zhǔn)地攔截攻擊;同時通過行為分析和對具體業(yè)務(wù)場景設(shè)置動態(tài)防護(hù)策略，在不斷對抗過程中，會摸清黑產(chǎn)的攻擊策略，將其置之死地。整個過程，幫助客戶梳理清楚業(yè)務(wù)邏輯，為業(yè)務(wù)調(diào)整優(yōu)化提供依據(jù)，這就是騰訊云WAF使用策略中的第三道防線。

老袁在這個過程中也稍稍栽了下跟頭——攔截CC和BOT攻擊的時候，只考慮到攔截同一個IP的異常訪問，卻忽略掉在顧客在大賣場、在咖啡廳里使用公共WIFI訪問網(wǎng)上商城的“共享式IP”場景。意識到這個問題后，他們迅速調(diào)整代碼邏輯，對每個用戶使用短信接口場景進(jìn)行優(yōu)化，這個小小的插曲很快被解決。

設(shè)下以上的“三道防線”后，家樂福網(wǎng)上商城當(dāng)天幾乎是立刻止血，不再出現(xiàn)短信接口的異常訪問!

第一場交鋒家樂福的輕松取勝，讓本想挑釁的黑產(chǎn)團(tuán)伙惱羞成怒，兩天以后的早晨八點——看來這是這個黑產(chǎn)團(tuán)伙頗為偏愛的時間點——家樂福的線下門店正在搞活動，老袁的手機再次被打爆，說是公司的APP嚴(yán)重卡死、白屏。黑產(chǎn)團(tuán)伙開始對家樂福的特定幾個URL，發(fā)起持續(xù)猛烈的攻擊，訪問量超過700萬次，導(dǎo)致服務(wù)器壓力增大，出口業(yè)務(wù)的帶寬被打滿，正常用戶沒辦法訪問APP和網(wǎng)頁，用行話說，家樂福的網(wǎng)站被“核”了。

黑產(chǎn)主要從以下四條“小道”進(jìn)行突擊猛攻：首先是狂刷用戶行為采集的接口，頻率高達(dá)300-400次每秒，這個接口主要是記錄用戶訪問家樂福APP的行為，再寫入數(shù)據(jù)庫;二是瞄準(zhǔn)APP版本檢查接口，也就是模仿一個過分焦慮的強迫癥者，一遍遍刷新查詢版本有沒有更新，每天超過幾百萬次，導(dǎo)致APP帶寬被惡意消耗掉;三和四分別是查看商品庫存和查看購物車，派機器人一遍遍去看商品還剩多少、購物車?yán)镉猩?，讓?shù)據(jù)庫讀寫高到爆滿。

可以說，為了在這個購物節(jié)里打垮家樂福，黑產(chǎn)團(tuán)隊也是傾巢而出，用上了最前沿的技術(shù)，大有不死不休的架勢。

老袁再次用“三道防線”的策略迎戰(zhàn)，而且這次，他跟他手上的武器已經(jīng)培養(yǎng)出了默契。騰訊云WAF本身具備WAF的通用特性——硬核殺傷，而且更敏捷、更精準(zhǔn)，忠實于“戰(zhàn)士們”設(shè)定的CC防護(hù)規(guī)則和BOT策略，你讓我攔誰我就不留情面地把符合條件的人統(tǒng)統(tǒng)攔截，反手還要送他們的IP一個查封。

但只要戰(zhàn)術(shù)得當(dāng)，這把硬核武器可以完成溫柔的“殺戮”，把黑產(chǎn)攔在門外，同時保證正常用戶訪問，這也是家樂福最后贏下這場硬仗的制勝關(guān)鍵：設(shè)計CC防護(hù)和BOT防護(hù)規(guī)則的過程中，還要理順代碼邏輯，并且結(jié)合實際的業(yè)務(wù)場景進(jìn)行針對性的規(guī)則調(diào)整，剩下的交給WAF，兵不血刃便已退敵千里。

值得一提的是，騰訊云WAF對于觸犯規(guī)則被封禁的IP，也不是痛打落水狗式的一棍打死、徹底封禁，而是三天后自動解封——這么做的策略主要在于防止這些IP落到真實用戶的手里，導(dǎo)致真正的金主爸爸無辜被擋在門外;而如果IP一直攥在黑客手里，那好辦，一直封禁一直爽,這樣的IP會被放入到騰訊云安全的威脅情報數(shù)據(jù)庫，讓黑客無法利用該IP為非作歹。

隨著數(shù)字化轉(zhuǎn)型的加快，越來越多的安全問題一一暴露，零售商和黑產(chǎn)之間的戰(zhàn)爭只會越發(fā)激烈。在這場斗爭中，零售決策者們必須把對安全問題的關(guān)注提升到新的高度，因為這極有可能決定一個企業(yè)發(fā)展的天花板在哪里。剛剛轉(zhuǎn)向電商的傳統(tǒng)零售商們，在零售紅海中迎著數(shù)字化轉(zhuǎn)型大潮，面對著來勢洶洶、彈藥充足的黑產(chǎn)軍團(tuán)，或許要試著將自己的后背交給專業(yè)的安全廠商，才能將數(shù)量龐大的“牛馬羊”黑產(chǎn)群體斬在馬下。

本文來源：零售商業(yè)評論