跨省盗刷分析(公测免费)
概述
百度智能云CDN针对跨省黑产拉流推出了跨省盗刷分析增值服务,根据既定的检测机制对晚高峰流量进行抽样分析,识别出异常的流量区域分布和攻击特征。由于是抽样分析,跨省盗刷分析的结果可能有一定误差,您可以参考并进行相关的封禁策略配置。
使用说明
跨省盗刷分析可广泛应用于金融、电商、O2O、互联网+、游戏、政府、保险等各类网站,主要解决问题是对跨省盗刷流量的恶意行为进行检测,提供元数据盗刷信息。
- 检测内容:盗刷省份、运营商和盗刷带宽峰值,以及盗刷具体的URl、Referer、UA
- 抽样时段:晚高峰 21:00至22:00
-
数据储存时间:30天
跨省盗刷数据储存会消耗一定储存资源,我们提供最多30天的数据查询,若您的业务需要更长时间的查询,可以提交工单联系我们。
止损措施
盗刷流量属于非正常业务流量,当您的域名因被恶意攻击或流量被恶意盗刷时,会产生突发高带宽和大流量消耗,导致产生高于日常消费金额的高额账单。因恶意攻击或流量盗刷产生的高额账单无法免除/退款,您可以根据检测出的数据进行一定的封禁策略配置。
1. 防盗链配置
你可以通过对检测出的数据进行一定的判断,对确定为盗刷的Referer和UA进行防盗链黑名单配置,限制其恶意攻击您的域名,对您的正常流量进行保护,具体操作介绍请参见设置防盗链。
- Referer 黑名单配置:攻击者在请求头中伪造 Referer 字段,以假冒合法的引用来源,进行恶意请求,您可以根据检测出的恶意 Referer 列表进行黑名单封禁处理。
- User-Agent 黑名单配置:攻击者通过伪造 User-Agent 字段发送大量请求,试图绕过安全检查,您可依据检测出的恶意 User-Agent 列表进行黑名单封禁处理。
2. URL配置及封禁
您除了对域名进行Referer和UA进行黑名单配置外,您也可以对检测出的被盗刷的URl进行单独的防盗链配置,以便于不影响您域名下其他业务的正常进行,另外您也可以对检测出的URL进行封禁处理,通过拦截url的请求来抵御恶意盗刷攻击。具体操作介绍请参见URL配置及常用工具。
3. 用量封顶配置
当您发现您的域名存在被恶意攻击或流量被恶意盗刷,并且产生了高额账单,也可以通过设置域名的用量封顶,以此来减少进一步的损失,设置完成后再进一步分析日志做出针对性的安全设置。具体操作介绍请参见用量封顶配置。
4. 下行限速配置
通过配置单请求限速,限定此域名下向客户端传输的每个请求的最大响应速率,来压制加速域名的全网带宽峰值,具体操作介绍请参见设置单请求响应限速。
5. IP访问限频配置
通过限制单 IP 1s 内访问单节点的次数,对高频 CC 攻击和恶意用户盗刷进行防御,具体操作介绍请参见设置IP访问限频。
6. EdgeJS限速配置
利用EdgeJS进行流量限速,以平衡负载和防止突发流量,具体操作介绍请参见EdgeJS规则配置方法。
7. 实时监控告警
设置对CDN产品下指定域名的带宽峰值监控,达到设定的带宽峰值后将会给管理员发送告警,及时地发现潜在风险,具体操作介绍请参见实例监控。