首先客户是做商城的,服务器都在阿里云并配备了4台负载均衡。
在正式接入防御之前,用户反馈的问题是,访问特别慢,然后我们技术这边查看了服务器日志并没有发现DDos和CC攻击,于是联合开发一起排查问题,除了带宽跑的稍微高一些,可能是程序的问题,最终也没找出异常在哪里
后来我们发现一个有意思的地方,就是用户反馈慢的页面,几乎都是在同一个功能板块,哎,这就引发了咱们的好奇心于是就对不同的功能板块逐一测试,最终发现问题出在了用户登陆界面。可是根据客户反馈啊,他的用户基数也不是特别大
正常情况来说,这个板块不应该出现异常才对。
小蚁高级顾问:18597845260 同V
但是经过排查,处理这个板块的服务器压力比较大,CPU已经达到了100%,在这里我需要跟大家解释一下,用户访问首先经过最前端的服务器再由负载均衡的方式分别,分发到另外四台负载均衡上。所以很好奇为什么是负载均衡的机器压力这么大
不查不知道,这一查吓一跳,我们发现被频繁调用的接口居然是登陆界面的忘记密码,而且大部分IP几乎都来自海外。这让我们不由的思索了起来为什么?因为他根本就没有海外的用户。由此可以得出,这些海外IP的诡异之处。
确定没有海外用户之后,我们决定屏蔽所有海外IP,果然这个方法很奏效,第二天原来那台服务器就恢复正常,但是到了晚上,同样的问题又出现了,咱们又把重心放在之前的问题上,可能黑客那边也发现我们封锁了海外,于是换了一批
国内IP继续高频率的调用忘记密码接口。这个时候就有点棘手,因为用户都是国内的,总不能一股脑把国内的IP也封了把。
于是只能在最前端的服务器手动上一个防御策略,同一IP在一个小时内,只能访问这个接口3次(要真忘记密码就联系客服去吧)与此同时我们还上了智能验证的图形验证码,以此来防止机器的破解。故事的最后可能大家不太明白,黑客这么做的目的是为了什么,那根据以往的案例分析,很有可能是在实行撞库,也可能是来与同行的竞争,大家都知道,如果登陆时随便填密码,可能会提示账户或者密码错误,这样一来很难辨别到底这个账户是否存在,那如果点忘记密码,就可以输入账户,如果账户存在,那么黑客就会记录下来,
试图挖对手用户的墙角,不得不说,黑客的这个攻击思路还是有点意思的。
小蚁高级顾问:18597845260 同V
(小蚁云安全)是一家致力于为企业提供网络安全服务商。公司花重金打造大禹抗D立体防御、小蚁游戏盾、高防IP、蚁骑士WAF、小蚁卫士入侵防御、高防CDN、棋牌抗D等产品。为企业提供专业的全方位信息化综合解决方案。客户群主要包括网络游戏、视频网站、电子商务平台、互联网门户、政府及企业网站、金融、区块链等,我们秉承"客户第一、诚信创新"的经营理念
小蚁网络为客户提供DDoS流量监控、WAF防护、漏洞扫描、入侵检测、网络安全态势感知、主机加固、等保整改建设等安全业务服务。接入简单、秒级生效。为政府、金融、高校、医疗、支付、游戏、直播等各行业客户保驾护航。 www.bgpddos.com 全国服务热线:400-901-5608
2H3XW1.png)
咨询
24小时技术QQ:1767559921
24小时技术电话:13221000030
