概述

本文主要讲述ECS实例在遇到网站被大量恶意访问、刷流量的情况时的处理方法。

详细信息

阿里云提醒您：

•如果您对实例或数据有修改、变更等风险操作，务必注意实例的容灾、容错能力，确保数据安全。

•如果您对实例（包括但不限于ECS、RDS）等进行配置与数据修改，建议提前创建快照或开启RDS日志备份等功能。

•如果您在阿里云平台授权或者提交过登录账号、密码等安全信息，建议您及时修改。

您需要分析访问日志，分析出具体的特征，比如是针对某个URL大量访问、某个IP大量访问、恶意访问的User Agent固定等。分析到这些信息后，就可以做屏蔽操作，Nginx版站点可以直接在站点配置文件中写入屏蔽条目。Apache版站点可以在站点根目录下添加.htaccess文件，请您参考以下场景并根据网站类型进行操作。

异常IP较多

请您根据具体网站的类型参考以下对应场景进行操作。

Nginx版站点

Nginx服务配置如下所示，将对应IP信息开头的拒绝掉。

if ($remote_addr !~ "^([$IP])"){

     return 403;

}

说明：[$IP]指的是对应的IP信息。

Apache版站点

Apache服务配置如下所示。

order allow,deny

deny from [$IP_Address]

allow from all

说明：[$IP_Address]指的是具体的IP地址。

异常User Agent较多

请您根据具体网站的类型参考以下对应场景进行操作。

Nginx版站点

Nginx服务配置如下所示，遇到对应的User Agent直接返回403。

if ($http_user_agent ~ "[$User_Agent]"){

　　　return 403;

}

说明：[$User_Agent]指的是对应的User Agent信息。

Apache版站点

在站点根目录下添加.htaccess文件，Apache服务配置如下所示，将包含abc和cde字符的User Agent都进行拒绝处理。

RewriteEngine on

RewriteCond%{HTTP_USER_AGENT} ^abc* [NC,OR]

RewriteCond%{HTTP_USER_AGENT} ^cde* [NC]

RewriteRule .* - [F]

异常IP和User Agent较多

如果出现没有明显特征的，且IP和User Agent都非常多的情况下，无法通过上述的规则进行屏蔽。您可以考虑结合使用Web应用防火墙进行防护，可以自动识别这种攻击流量进行防御，具体操作请参考相关文档。

相关文档

开通Web应用防火墙

设置Web应用防火墙报警规则

适用于

•云服务器ECS

阿里云代理商   阿里云合作伙伴