OSS防止恶意被刷

已于 2023-07-20 12:05:25 修改
阅读量7k 收藏 19
点赞数 6
分类专栏: Nginx 阿里云 golang 文章标签: nginx 服务器 运维
于 2022-10-09 16:01:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangzaixiansheng/article/details/127205500
版权
golang 同时被 3 个专栏收录
9 篇文章 0 订阅
订阅专栏
Nginx
2 篇文章 0 订阅
订阅专栏
阿里云
2 篇文章 0 订阅
订阅专栏

OSS和CDN都是一些常用的通过流量计费的,如果被恶意刷新将会造成一些不必要的财产损失。本文主要记录一些关于阿里云的oss的防刷措施。

首先我们分两种情况来排查:

1、恶意referer访问

2、恶意ip库脚本刷新

一、恶意referer访问

对于这种访问,常用的是对oss对象设置防盗链来防止。

二、恶意ip库脚本刷新的

阿里云文档里面说到提供下面的三种办法

  • 将Bucket访问权限改为私有,通过签名后的URL对外提供服务。私有Bucket可以增加恶意下载的成本,但是也需要业务端集成签名算法,详情请参见集成签名算法,因此会产生一定的开发成本。
  • (推荐)迁移数据到新的Bucket中,详情请参见迁移数据,通过高防IP或者WAF防护的自定义域名对外提供服务,详情请参见自定义域名
  • 迁移数据到新的Bucket中,使用自定义域名对外提供服务,同时开启CDN加速,利用CDN的IP黑名单进行限制访问。详情请参见IP黑名单

当然对于上面的三种办法,我们也可以增加自己的理解。主要就是限流措施,要么在nginx上做,要么在中间增加后端服务限流。

1、存在后端服务的情况。先把Bucket设置成私有的,然后所有请求原来oss的url在后端服务器上包装一层。在后端服务里面我们可以和前端约定加密算法或者jwt检验cookie等,检验通过后我们在请求阿里云获取图片,把阿里云返回的arraybuffer转换成base64或其他返回给前端。同时后端服务可以利用滑动窗口算法来对请求ip限流等操作。

这里需要注意,请求会吃服务的带宽。

方法二:

 这里还有一种办法,请求阿里云的oss的时候设置过期时间比如10s,让阿里云oss生成临时地址。我们服务器通过302重定向到这个链接上,就可以了。(建议302,因为301的话 链接失效后刷新就会403)

当然你会问10s后就过期了 这样刷新后再请求 也会浪费服务器资源哈。

我们需要设置response的缓存时间,这样浏览器就不会再请求服务器了。

//强缓存设置靠请求头的Cache-Control或者Expires,听说有兼容性问题,老的是Expires,现在越来越多浏览器支持Cache-Control了,建议全都设上。
//Cache-Control设置的是个相对于现在的时间,单位是秒,Expires设置的是GMT时间,以设置10秒为例:
    res.setHeader('Expires',new Date(Date.now()+10*1000).toGMTString())
    res.setHeader('Cache-Control','max-age=10')

代理的转换node的话 可以使用koa-proxies。做成一个中间件帮忙转换url。changeOrigin设置成true。

ps:

阿里云oss内网访问不会进行流量计费,但是服务器也得是阿里云的,且服务器选择的是固定宽带!所以你懂的 哈哈

2、Nginx配置限流的方法。

 阿里云oss绑定自定义域名、然后在自定一域名上的nginx上配置反向代理到Bucket 域名上。在nginx上配置相应的限流方法。最后注意在nginx上不要忘记特殊code的处理。

限流配置分为两种:

        通过请求数进行限流
        通过连接数进行限流

http {
	limit_req_zone $binary_remote_addr zone=iplimit:10m rate=1r/s;
    server {
        server_name  loclhost;
        listen       8080;
        location /access-limit/ {
            proxy_pass   http://127.0.0.1:3000;
            # 根据ip地址限制流量
            limit_req zone=iplimit burst=2 nodelay;
        }
    }
}

$binary_remote_addr:binary_目的是缩写内存占用,remote_addr表示通过IP地址来限流
zone:iplimit是一块内存区域(记录访问频率信息),20m是指这块内存区域的大小
rate: 1r/s = 1 request / second,类似于100/m(每分钟100次请求)
burst: burst=2,设置一个大小为2的缓存区域,当大量请求到来,请求数量超过限流频率时,将其放入缓冲区域
nodelay: 缓冲区满了后直接返回503异常

上面是基于单ip的限流,同时还是支持server_name级别的限流

http {
	limit_req_zone $server_name zone=serverlimit:10m rate=1r/s;
    server {
        server_name  localhost;
        listen       8080;
        location /access-limit/ {
            proxy_pass   http://127.0.0.1:3000;
            # 根据服务器级别进行限流
            limit_req zone=serverlimit burst=2 nodelay;
        }
    }
}

最后我们基于链接数的限流

http {
    limit_conn_zone $binary_remote_addr zone=perip:10m;
    limit_conn_zone $server_name zone=perserver:10m;
    server {
        server_name localhost;
        listen       8080;
        location /access-limit/ {
            proxy_pass   http://127.0.0.1:3000;
            # 每个server最多保持100个连接
            limit_conn perserver 100;
            # 每个ip最多保持1个连接
            limit_conn perip 1;
        }
    }
}

可以在location下通过配置 limit_req_status 504limit_conn_status 504来修改默认errorCode

错误处理:

proxy_intercept_errors  on;


error_page  500 502 503 504 /404.html;
error_page  400 404 /404.html;
    
location = /404.html{
       root  /www/wwwroot/YOUR-HOST-HERE;
}

参考文章:

OSS被攻击恶意刷流量出现异常流量的排查方法

oss防刷流量配置!

祥仔先生
关注
  • 6
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
阿里云oss-browser浏览器
06-20
图形化的管理工具。 提供类似Windows资源管理器的功能。 支持直接浏览文件。...ossbrowser是图形化工具,传输速度和性能不如ossutil。 只支持5 GB以下的文件移动或复制。 单文件上传最大不能超过48.8 TB。
java利用oss实现下载功能
08-25
"java利用oss实现下载功能" Java是当前最流行的编程语言之一,而 OSS(Object Storage Service)是阿里云提供的一种对象存储服务,通过使用Java和OSS可以实现下载功能。本文将详细介绍如何使用Java和OSS实现下载...
阿里云oss开启防盗后小程序图片不显示
老虎帅呆了的博客
03-24 1664
oss防盗白名单中添加https://servicewechat.com
阿里云 Oss实现
风团团
09-27 1117
最近公司的私有 Oss 服务满了,且 Oss 地址需要设置权限,只有当前系统的登录用户才能访问 Oss 下载地址。一开始想着用 Nginx 做个转发来着,Nginx 每当检测当前请求包含特定的 Oss 地址就转发到我们的统一鉴权接口上去,但是紧接着又细想了一下,转发后的地址被恶意分享出去了,不也还是存在文件泄露的风险吗?于是又去翻阅了一下阿里云Oss 权限相关的文档。借此整合一些常用的方法,机械代码自留也是分享给大家。
假如 我上传 了一个oss 文件 如果保证 这个用户 拿到后 进行盗
qq_33240556的博客
07-08 230
保护OSS(Object Storage Service,对象存储服务)中上传的文件,防止用户下载后进行非法传播或盗,是一个涉及版权保护、访问控制和安全策略的问题。请注意,任何技术手段都不是绝对安全的,重要的是综合运用多种策略,形成多层次的防护体系。同时,也要平衡用户体验与安全保护之间的关系,避免过度限制影响正常用户的使用体验。
阿里云对象存储之文件上传
weixin_53998054的博客
08-19 1425
文件上传
阿里云OSS防盗链方案详解
热门推荐
草莓甜甜圈的博客
06-22 1万+
OSS(Open StorageService)非常适合存储静态文件并提供对外访问,例如图片、文档、视频、音频和静态页面等。它是一种海量、安全、低成本、高可靠的云存储服务,并按存储空间和对外流出流量计费。OSS要为网站提供真正意义上的服务,一定要解决防盗链的问题。本最佳实践要解决的主要问题就是如何实现防盗链机制,避免承担因此带来的额外OSS流量费用。 OSS在 Bucket级别提供了防...
如何避免阿里云对象储存OSS被盗
木头分享 - 分享有价值的、实用的干货
10-23 843
例如配置为*www.aliyun.com/,可匹配如http://www.aliyun.com/和https://www.aliyun.com/地址。配置为*.aliyun.com,可匹配如help.aliyun.com、www.aliyun.com等地址。在www.aliyun.com/123、www.aliyun.com.cn等以www.aliyun.com为前缀的地址。支持带端口的域名或IP地址,例如www.example.com:8080、10.10.10.10:8080等地址。
国际阿里云对象存储被盗流量了怎么办?
mimi258的博客
08-05 280
OSS签名URL:https://www.alibabacloud.com/help/zh/object-storage-service/latest/how-do-i-obtain-the-url-of-an-uploaded-object 详见私有Object签名URL获取方式,及多个文件URL获取方式。Bucket ACL分为public-read-write(公共读写)、public-read(公共读)和private(私有)三种。如果你的业务是公开网络平台项目。那么一定要按照以下修改!
阿里云CDN和oss怎么防止流量高额欠费?
最新发布
weixin_71114441的博客
07-09 339
这两个产品都是按流量计费的,被攻击者流量就会产生高额账单。CDN可以选择用固定的流量包oss搭配CDN使用,把oss地址作为源接入,CDN主要是隐藏oss地址,很多人练手搞攻击,提前做好安全预案很有必要。
nginx配置反盗链防止阿里云oss图片资源被恶意访问
weixin_42178670的博客
08-31 997
nginx配置反盗链防止阿里云oss图片资源被恶意访问 1)先在阿里云配置自有域名访问 2)在nginx里在刚刚配置的自有域名的server下配置以下内容: location ~* \.(gif|jpg|png|swf|flv)$ { proxy_pass https://xxx.oss-cn-shenzhen.aliyuncs.com; //xxx是oss对应的bucket名字 valid_referers ~\.abc\. ; // 表示referers在abc前后都是正则匹配的refe
oss.rar_OSS
09-19
5. **同步与互斥**:在多任务环境下,OSS必须确保对硬件资源的访问是同步和互斥的,以防止数据冲突和死锁。 6. **性能优化**:OSS芯片处理通常会进行性能优化,如减少中断延迟、缓存优化等,以提高整体系统性能。 ...
oss.zip_OSS
09-24
3. 安全性:设置合适的访问策略,限制对数据库的访问,防止未授权的访问和操作。 4. 性能优化:考虑数据的访问模式,选择合适的数据存储类别和区域,以达到最佳性能。 总的来说,"oss.zip_OSS"的场景展示了如何利用...
Unity2021 Aliyun.OSS.SDK
09-13
Unity2021 Aliyun.OSS.SDK 是一个专门为Unity3D游戏引擎开发的阿里云对象存储服务(OSS)客户端SDK。这个SDK使得Unity开发者能够方便地在他们的游戏中集成阿里云的对象存储服务,用于存储和检索游戏资源,如音频、...
如何彻底解决国际阿里云对象存储被盗下行流量?
mimi258的博客
05-19 538
获取单个或多个文件的签名URL示例:https://www.alibabacloud.com/help/zh/object-storage-service/latest/how-do-i-obtain-the-url-of-an-uploaded-object。OSS签名URL:https://www.alibabacloud.com/help/zh/object-storage-service/latest/how-do-i-obtain-the-url-of-an-u。那么一定要按照以下修改!
如何使用OSS更省钱!
qq_38693478的博客
05-11 5029
摘要: 小王是一个在杭州的创业者,他带领团队研发了一款基于图片分享的移动应用,希望把图片存储在阿里云上。我们给小王算了一笔账,对比看看如何使用OSS能更省钱... 案例背景 小王是一个在杭州的创业者,他带领团队研发了一款基于图片分享的移动应用。希望把图片存储在阿里云上,图片大概 1TB,每月图片下行流量 2TB,每月有1500W 请求次数。小王想要了解怎么搭配阿里云产品使用,才是性
记录下阿里云OSS直传的心酸历程
weixin_42014939的博客
07-11 1306
在使用DjangoRestFrameWork编写上传接口的过程中前端要求使用JS验签直传,这样的好处就是略过了服务器作为中转站的过程,传输速率也更快。至于OSS直传的简介,就不赘述了,官方文档很全,需要的点击官方详解,这里直接进入正题。 官方文档提供了服务端和客户端的源码,作为后端我们只需要下载服务端源码即可,当然,为了调试也可以下载客户端源码,打开index.html进行调试。 打开源码内的ap...
阿里云OSS】访问控制
sayyy的专栏
01-12 2891
目录前言概念OSS提供的权限控制策略RAM PolicyBucket PolicyBucket ACLObject ACL当Bucket同时存在多个权限控制策略(如RAM Policy、Bucket Policy、Bucket ACL、Object ACL)时的鉴权流程使用STS临时授权访问OSSOSS资源允许匿名访问的设置方式1:Bucket ACL 设置成公共读方式2:Object ACL 设置成公共读方式3:Bucket Policy 设置指定目录OSS资源匿名访问使用STS临时授权访问OSS 前言
防止oss图片路径被攻击
06-13
防止OSS图片路径被攻击的方法有: 1. 防盗链:在OSS中设置防盗链,只允许指定的域名或IP地址访问图片。这样可以防止其他网站盗用你的图片,同时也能够防止攻击者使用图片URL进行攻击。 2. URL签名:在OSS中设置URL签名,对URL进行加密,只有带有签名的URL才能够访问图片。这样可以防止攻击者猜测URL路径,从而进行攻击。 3. 限制访问时间:在OSS中设置图片的访问时间,只有在规定时间内才能够访问图片。这样可以防止攻击者长时间访问图片,从而对服务器造成压力。 4. 限制用户访问频率:在OSS中设置用户访问频率,限制用户在规定时间内访问图片的次数。这样可以防止攻击者恶意访问图片,从而减轻服务器的压力。 5. 使用CDN:使用CDN可以缓存静态资源,从而减轻服务器的负担,同时还可以过滤掉恶意流量,保护图片不被攻击。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值