一、验证码/短信/邮件接口/登录入口被刷现象
- 攻击者通过向登陆、验证码校验入口进行大量字典请求,导致账号被暴力破解,服务器超负载无法响应等问题。
- 攻击者通过对短信、邮件接口的大量非真实用户请求,导致邮件/短信费用暴增,造成重大经济损失,同时由于大量请求导致服务器超负载、无法响应,形成类CC攻击。
二、防御策略
- 智能限速:对特定网址的特定请求方式设置限速,实现一分钟内单个IP请求超过设置阈值后该分钟内自动进行拦截,如在触发限速后需屏蔽一定时间,可结合“屏蔽时间”功能一起使用,详细说明可参考【智能限速功能说明】、【屏蔽时间功能使用说明】。
- 弱口令检测:如业务系统存在登录接口被暴力破解的情况,可使用弱口令检测功能对登录密码进行限制,详细说明可参考【弱口令防护功能使用说明】。
三、智能限速设置样例
如上图配置,代表单个IP一分钟内请求含有“/mail/send.php”关键词的网址不能超过10次,如果超过10次,安全节点会阻断超出请求,阻断周期为当前请求分钟。
注:若需触发限速后对该IP进行IP惩罚封禁一段时间,则可结合屏蔽时间功能一起使用。
智能限速对请求方法选择分为三类:
- 全部:对全部含有该关键词的网址请求进行限速。
- POST:只对POST请求进行限速,POST请求往往发生在表单提交时(如登录、发布文章等)。
- GET:只对GET请求进行限速,一般是资源访问请求(如浏览)。
四、弱口令检测设置样例
如上图配置,代表若密码长度小于等于7或密码内容未包含大写字母的密码属于弱口令密码,此类弱口令密码会被云防御拦截,可在一定程度上限制密码爆破攻击。