OSS異常流量排查及防護

一、異常流量排查分析
1.如何定位惡意IP訪問
分析oss資源監控數據，看看是否存在惡意IP異常請求OSS資源，資源監控路徑：控製台—OSS—具體bucket—熱點統計—TOP IP

或者直接分析OSS日誌，獲取得到IP訪問TOP情況，日誌分析可以通過日誌分析工具進行，如awk，過濾非cdn 回源請求的top ip ：cat rplog-rabbitpre2017-04-20-20-00-00-0001 |awk '{if ($(NF-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20 ；
OSS日誌開啟看： OSS日誌開啟
日誌字段說明：OSS日誌字段說明

2.定位到惡意IP，如何防護
[1] 如果bucket私有
1] 建議遷移數據到新的bucket中，新的bucket私有，通過開啟waf/高防防護的自定義域名對外服務，如何為bucket開啟WAF/高防防護看《二、高防/WAF如何防護OSS資源》

[2] 如果bucket公共讀
1] 可以bucket私有對外提供簽名URL訪問（需要業務端集成簽名算法有一定開發成本），bucket私有可以增加惡意下載的成本；
OSS簽名URL算法：OSS簽名URL算法
OSS簽名URL實現的php demo 看：OSS簽名URLdemo
OSS sdk 獲取簽名URL看：OSS SDK獲取簽名URL
2] 或者遷移數據到另外的bucket中，通過開啟waf/高防防護的自定義域名對外服務，如何為bucket開啟WAF/高防防護看《二、高防/WAF如何防護OSS資源》（推薦）；

**3] **或者遷移數據到另外的bucket中，再使用自定義域名對外服務，開啟CDN加速，利用CDN的 IP黑名單進行限製訪問，CDN IP黑名單存在條數限製；
數據遷移參考;OSS import
OSS 開啟CDN加速：CDN加速OSS

3. 如何定位惡意referer訪問
分析oss資源監控數據，看看是否存在惡意referer異常請求OSS資源，資源監控路徑：控製台—OSS—具體bucket—熱點統計—refer

或者直接分析OSS日誌，獲取得到refer訪問TOP情況，日誌分析可以通過日誌分析工具進行，如awk等
OSS日誌開啟看： OSS日誌開啟
日誌字段說明：OSS日誌字段說明

4. 定位到惡意referer，如何進行防護
用戶可以通過OSS管理控製台或者API的方式對一個Bucket設置referer字段的白名單和是否允許referer字段為空的請求訪問。例如，對於一個名為oss-example的Bucket，設置其referer白名單為https://www.aliyun.com/ 。則所有referer為https://www.aliyun.com/ 的請求才能訪問oss-example這個Bucket中的Object。
控製台——OSS——具體bucket——基礎設置中進行referer設置referer加白需求的域名，惡意referer域名不進行加白，那麼惡意referer就不能正常訪問對應的OSS資源了的。