极客观点
项目管理
HarmonyOS
首先说下我们的应用,是一个铃声APP应用,用户无需登录即可下载和试听歌曲,目前在七牛上大概有2G的歌曲文件,目前产品处于初级阶段,每天活跃用户数在200左右,单首歌曲在10M左右,但是从10月1号开始,网站遭到恶意的刷流量行为,每天流量在1T左右(此前基本都在50G以下),通过日志分析,单个IP访问量接近了50w(见附录一 IP访问量比较),并出现了异常的REFER标识(见附录二)该异常REFER的次数接近了200W的访问数,存在非常明显的刷量行为
注:【robots文件和迅雷的Refer限制都是加上了的】。
附录一:
附录二:
1 如何屏蔽该类刷量行为
(1)七牛云仅能提供对refer的限制,甚至都无法对IP加入黑名单,大家都知道,REFER极易被伪造,所以七牛云官方提供的黑名单功能可以说几乎是没有任何用处的。
(2)官方有一种叫做私有空间的模式,该模式每个访问的URL需要带TOKEN和有效时间,但是由于我们的应用本身是用户无需登录即可下载和试听,所以即使我们加上一个跳转连接,访问后通过跳转到真实的地址,我们仍然无法进行限制,因为没有认证机制,我们会对任何的跳转连接都认为有效,并分配正确的TOKEN让其进行访问,所以该条路也是不可行的。
(3)沿用第二种方式,但是在跳转连接前记录IP,访问时间,访问数,在跳转到真实地址之前进行验证,
a 根据IP访问时间间隔来判断,但是如果一个内网同时有多个终端访问,那么这些终端出来的将都是同一个IP,这样的话时间间隔完全可能很短,貌似有点不可行
b 根据IP访问次数,如果超过一个额定值,则现在某段时间内无法访问,貌似是可以。
大家平常是怎么处理的呢?
2 大家在使用七牛云的时候还有会遇到那些问题
大家在使用时还有那些可以值得注意的问题,或者其他的那些云存储在防止攻击方面做的好的,给推荐一下。
3 有办法追踪到具体攻击地点吗?直接IP好像只能定位到某个市,有更精确的定位方式吗?
此外抱怨一句,七牛云的这方面做的太差了,这么明显的攻击系统都无法察觉出,也希望其他用户引以为戒。
七牛云存储
针对IP绑定到黑名单的问题,你可以直接提交工单或者打400电话(http://www.qiniu.com/about/contact)找直接找七牛的技术支持,给你手动绑定,因为绑定IP黑名单还是涉及到的方面比较多。
针对私有空间,确实鉴权的问题如果客户自己没有做,那么七牛这边生成的token在有效期内还是可以无限次数的使用的,所以如果需要对某个特定IP(或者是所有IP)在限定时间内访问次数做限制,那么还是得联系七牛的技术支持,让他们给你做手动的设置。
IP地址要精确到更详细的位置那么在国内目前只有两个途径能知道,一个是运营商自己,能够知道是哪个节点或者基站发的请求,另一个是公安系统中的相关部门,所以这个接口对公众都是没有办法知道更具体的信息的,毕竟这个涉及安全和隐私。
七牛目前确实做的不是很好,因为七牛默认流量和访问量增加是业务的相关需求,但是如果流量超出太多,七牛的销售也会收到相关的告警,然后给相应用户做提醒,但是这个也不是很可靠。但是如果让用户手动设置自己空间的流量上限,那么首先是七牛的流量统计不是实时的,如果有延迟这样的统计可能意义不是很大了。