通过自定义防护功能抵御异常UA攻击

最新推荐文章于 2025-05-14 14:24:21 发布
最新推荐文章于 2025-05-14 14:24:21 发布
阅读量627 收藏 15
点赞数 25
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2509_92058858/article/details/147940766
版权

在当前网络安全环境下,防护源站免受恶意攻击至关重要。异常的用户代理(User-Agent,简称UA)常被用于执行各种攻击,如爬虫抓取、漏洞扫描、DDoS攻击等。本文将介绍如何利用Web应用防火墙(Web Application Firewall,简称WAF)3.0的自定义防护功能来防御异常用户代理(UA)对源站的攻击。

网络架构概述

本示例的网络架构如下:WAF拦截异常流量,确保正常用户流量安全到达云服务器。

一键部署

为了让您体验WAF抵御异常UA攻击的功能,我们提供了一键部署服务,帮助您快速搭建网络架构。

重要

  • 一键部署过程中ECS和CLB会产生一定费用,如何收费请参见ECS按量付费CLB按量付费

  • 创建的资源不再需要时,请及时进行释放或退订,避免产生额外的费用。

一键部署会为您创建一个专有网络VPC、一个交换机、一个安全组(允许22、80、443端口访问)、一个开通公网访问的按量付费ECS实例、一个CLB(监听端口为80)。您可以单击一键部署进入调试页面,发起调试后点击预览并执行。部署完成后,需要您将Web服务部署到您的ECS服务器,并为七层CLB(HTTP/HTTPS)开启WAF防护

2025-03-12_14-36-06 (1)

异常UA攻击概述

异常UA攻击通常指攻击者伪造或篡改HTTP请求中的User-Agent头,以隐藏真实身份或绕过安全防护措施。这类攻击可能包括:

  • 恶意爬虫:大量抓取网站内容,占用带宽和资源。

  • 漏洞扫描:自动化扫描网站漏洞,寻找可利用的安全漏洞。

  • CC攻击:发送大量请求,导致服务器过载无法正常响应。

  • 欺骗与绕过:通过伪造UA绕过特定的安全策略或访问控制。

前提条件

操作步骤

步骤一:收集和分析UA数据

在配置防护规则之前,首先需要了解正常用户访问时使用的User-Agent信息。这有助于区分正常流量和异常流量。本示例中七层CLB已开启日志访问,并可以在日志服务中查看并分析日志信息。CLB开启日志并查看分析的具体操作请参见开启数据采集功能

  1. 登录日志服务控制台。选择您的目标project与logstore,进入日志界面。

    image

  2. CLB开启日志采集后,日志服务会采集经过CLB的请求报文信息,具体的字段请参见负载均衡7层访问日志的字段详情。其中http_user_agent就是负载均衡收到的请求报文中的UA。单击http_user_agent并选择数量最多的UA值,界面会筛选出指定时间内,包含该UA值的全部日志信息。

    image

    可以发现UA值为Apache-HttpClient/4.5.13 (Java/1.8.0_381)的请求占据了这个时段99%,15分钟内有4368笔请求的UA值为Apache-HttpClient/4.5.13 (Java/1.8.0_381)。

步骤二:创建WAF自定义规则

如果某域名或接口被攻击者恶意访问,导致日志中存在大量伪造的非正常 User-Agent,例如空值、随机字符串等,您需要根据业务场景识别异常请求。

在本示例中,查看步骤一统计的数据,我们发现同一UA的请求数量突然激增,远远超出正常水平,这表明可能存在异常流量。根据这种情况,我们需要按照以下操作步骤创建自定义规则,使WAF能够有效拦截符合这些规则条件的异常流量:

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置 > Web 核心防护

  3. Web 核心防护页面下方自定义规则区域,单击新建模板

    说明

    如果您是第一次创建自定义规则模板,您也可以在Web 核心防护页面上方的自定义规则卡片区域,单击立即配置

  4. 新建模板-自定义规则页面下单击新建规则,为当前模板新建自定义规则。

    1. 规则名称:本示例规则名称为Abnormal_UA_Interception

    2. 匹配条件:匹配字段选择User-Agent,逻辑符选择包含,在本示例中符合业务场景的匹配内容为Apache-HttpClient/4.5.13 (Java/1.8.0_381)

      您可以根据您实际的业务需求,填写最符合场景的匹配内容,以确保规则的有效性和精确性。

    3. 规则动作拦截

    image

  5. 点击确定后,规则配置中生成规则名称为异常UA拦截的自定义规则,您需要记录对应的规则ID将在之后的报表中查看该规则ID的拦截效果,该示例的规则ID为20766535。

    image

  6. 新建模板-自定义规则页面,在待选择对象区域中选择需要防护的防护对象防护对象组,添加到已选择对象区域。

    image

  7. 单击确定,页面弹出添加成功的提示后,表示自定义规则模板新建成功。

验证

自定义规则生效后,可以通过以下几种方法验证WAF的防护效果,并查看日志中的请求报文信息以及报表中规则的生效情况。

查看WAF日志

WAF日志可查看被成功拦截的异常UA请求,final_action为block表示该请求被拦截,详情的日志字段信息请查阅日志字段说明

说明

查看WAF日志需要防护对象已开启日志服务

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择检测与响应 > 日志服务

  3. 日志服务页面上方,选择CLB防护对象。如下图所示,异常UA流量被WAF拦截,并在日志中记录。

    image

查看WAF安全报表

WAF安全报表中可以查看WAF自定义规则的防护效果。

  • 登录Web应用防火墙3.0控制台

  • 在左侧导航栏,选择检测与响应 > 安全报表。在安全报表页面,选择自定义规则页签,选择接入的CLB防护对象。

    image

    在top10规则详情区域,可见步骤二创建的拦截异常UA规则的命中次数。

查看业务日志

异常流量拦截生效后,业务服务器的日志将不会再接收到异常流量的请求,本示例中如下图可见CLB接收到的流量详情,在15分钟内,CLB实例不再接收到被WAF拦截的UA异常请求。

image

QQ92058858
关注
CHES 2022 issue-3文章总结
dedanddwb的博客
07-26 703
来源:https://ches.iacr.org/2022/acceptedpapers.php。
超低成本DDoS攻击来袭,看WAF如何绝地防护
白帽子佳奇的博客
05-26 1128
等多种处置动作与特征识别能力配合,为防护的精准性提供保障。
宝塔面板开启waf防护
比你牛逼的人比你更努力!
02-24 2483
宝塔成立之初的目标群体就是对服务器技术不太懂的或者想用更简单的方法来管理服务器的人们,为了更好的服务这些群体,我们会在软件立项层面就引入交互体验,将其视为于底层技术一样重要的方向,因为我们认为这些人群,不但需要软件功能合适,而且软件要简单好用,最好用的过程是不需要看教程或问人,完全凭自己感觉操作。我们就是真的要做到让你更简单的操作服务器。 宝塔面板在 6.x 之前的版本中自带了防火墙功能(Ngin...
User-Agent手工注入攻击及防御(探测与利用分析)
weixin_46709219的博客
12-19 2363
一)前情提要: 我的一个宿舍友提及,他不能理解为什么一个访问主页的简单的 GET 请求会被 WAF 屏蔽,他被屏蔽的HTTP请求如下: GET / HTTP/1.1 Host: www.example.com Connection: keep-alive Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Upgrade-Insecure-Requests: 1 User-Agent: Mozi
指纹浏览器功能安全隔离,助力多账号管理
IDFaucet的博客
03-25 319
例如,对于从事跨境电商的用户来说,他们往往需要在亚马逊、eBay 等多个平台上管理多个店铺账号,通过火语言指纹浏览器,他们可以一次性打开所有账号对应的浏览器窗口,进行商品上架、订单处理、客户沟通等操作,大大提高了工作效率。此外,该浏览器还支持添加所有谷歌插件,为用户提供了丰富的浏览器扩展功能和定制选项,用户可以根据自己的业务需求安装相应的插件,进一步提升浏览器的功能和使用体验。凭借这些先进的功能,火语言 RPA 能够帮助企业和个人实现业务流程的自动化,提高工作效率,降低运营成本,同时保障账号安全
重保特辑|拦截99%恶意流量,揭秘WAF攻防演练最佳实践
qcloud_security的博客
07-29 982
采用分布式扫描器频繁变换攻击来源IP,从免费代理、IDC、VPS、网络收费代理、再到4g基站、物联网、家宽、秒拨IP、云函数代理、serverless代理、worker代理等等,通过变换庞大数量的来源IP对服务进行持续扫描攻击,常规发现1个IP就封禁1个IP的应对措施往往具有滞后性。虽然收敛了基础安全漏洞。安全“防御工事”的构建可以从网络、边界、主机等各层面入手,部署完备的安全工具加固防线,并通过云安全中心、威胁情报等实现安全的一站式联动控制,以及功能互通和数据协同。...
[转]Web应用防火墙WAF详解
热门推荐
heiyeluren的blog(黑夜路人的开源世界)
05-05 1万+
本文详细描述了从Nginx配置到打造一个WAF,到现有可用WAF工具的过程,希望有参考学习价值。
阿里云云计算ACP学习(九)---阿里云安全
qq_41289023的博客
09-22 1255
阿里云安全
设备面试题+蓝队知识题+流量
LCW991207的博客
04-02 2646
fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。服务端提供了能够从其他服务器应用获取数据的功能,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,进行未授权访问。OA啊,等等,做的真实一点点。
【OPC UA通讯安全秘笈】:最佳实践与安全策略
OPC UA(OPC Unified Architecture)是一种跨平台、开放的通讯协议,它基于服务导向架构,为工业自动化和信息交换提供了高安全性的通信解决方案。与传统的OPC Classic协议相比,OPC UA不仅增强了数据传输的安全性,...
工业通讯新趋势:OPC UA与dSPACE RTI的无缝对接
随着工业自动化和信息交换需求的增长,OPC UA(统一架构)和dSPACE 实时接口(RTI)作为关键技术,越来越受到行业的重视。本文首先对OPC UA与dSPACE RTI的基本概念进行了详细介绍,并深入探讨了它们的技术基础及实践...
工控系统安全防护:Fuzzing测试的集成与管理
!... # 摘要 工控系统安全是工业自动化领域的核心问题,面临日益复杂的网络威胁。本文首先概述了工控系统安全的现状和挑战,随后深入探讨了Fuzzing测试技术的原理、关键技术以及相关工具和环境构建。...
Web安全核心内容与常见漏洞总结
最新发布
weixin_47389477的博客
05-14 176
启用 ‌Content Security Policy(CSP)‌ 限制脚本加载源,阻断 XSS 攻击链。使用参数化查询(Prepared Statements)防御 SQL 注入。对用户输入进行严格校验(如正则表达式匹配),过滤特殊字符(如。输出数据时进行 HTML 实体编码,避免 XSS 攻击。实现细粒度权限管理(如 RBAC 模型),避免越权操作。部署 ‌Web 应用防火墙(WAF)‌ 过滤恶意流量。使用 SSL/TLS 加密数据传输,防止中间人攻击6。强制使用多因素认证(MFA)提升账户安全性。
深入浅出入侵检测系统(IDS)的工作原理与应用场景
JakeMa1024的博客
05-14 794
入侵检测系统(IDS)是网络安全领域的关键工具,被誉为“火眼金睛”,能够实时监测网络流量和系统行为,识别潜在的入侵企图和异常活动。IDS通过数据收集、分析、威胁评估和响应处理四个步骤,利用特征匹配和异常检测技术,发现并报告可疑行为。与防火墙不同,IDS不直接拦截攻击,而是通过警报和日志记录帮助管理员及时应对威胁。IDS的优势在于实时监测、低误报率和安全审计,但也存在无法主动防御、依赖人工响应和对未知攻击识别有限的缺点。未来,随着人工智能和机器学习的发展,IDS的检测能力将进一步提升,与防火墙等其他安全技术协
2025 AI如何重构网络安全产品
关注博文底部公众号,发送标题关键字获取文档。
05-14 684
渗透测试行业术语2
2301_76419201的博客
05-09 1356
内生安全有三个特性,即依靠信息化系统与安全系统的聚合、业务数据与安全数 据的聚合以及 IT 人才和安全人才的聚合,从信息化系统的内部,不断长出自适 应、自主和自成长的安全能力。根据 Gartner 的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标 示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危 害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。这样一来,这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的, 从而使得客户所在网络的暴露面大大降低。
人工智能在网络安全中的重要性
技术超强的网络安全平台
05-08 1282
在当今世界,技术比以往任何时候都更加重要。随着物联网 (IoT) 和云计算等新兴技术的广泛应用,海量数据被创建和收集。尽管可以利用数据更好地满足相应的业务需求,但黑客攻击往往会带来巨大的障碍。网络攻击通常是个人或组织蓄意且有组织地试图入侵其他个人或组织的信息系统。此类安全事件或网络犯罪会对公司和个人造成负面影响,造成业务中断甚至严重的经济损失。人工智能的定义是人工决策。人工智能可以用来挖掘数据、识别模式并预测未来事件。它还可以用于检测网络攻击并阻止其发生。
【网络安全】——大端序(Big-Endian)​​和​​小端序(Little-Endian)
lingxw的博客
05-11 898
字节序(Endianness)是计算机系统中多字节数据存储或传输时字节排列顺序的规则,主要分为大端序(Big-Endian)和小端序(Little-Endian)。大端序将高位字节存储在低地址,低位字节存储在高地址,类似于人类书写数字的顺序;小端序则相反,低位字节存储在低地址,高位字节存储在高地址,类似于倒序书写。字节序的差异源于不同硬件体系结构的设计,直接影响数据在不同系统间的兼容性,尤其是在跨系统通信和网络传输中。为确保数据正确解析,通常需要统一字节序或进行字节序转换。网络传输默认使用大端序,而x86/
查询电脑伪装IP,网络安全速查攻略!
PIKACHUBIN的博客
05-14 323
电脑伪装IP查询是企业网络安全与合规运营的核心能力,其价值在于构建合法、稳定、可追溯的网络环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值