发布：凯铧互联
阿里云OSS适用于存储各种类型的静态资源，您将静态资源存放在阿里云OSS中，当阿里云OSS产生大流量的异常流量时，可能是恶意referer盗链或者恶意IP请求访问OSS资源导致的。针对上述情况，本文将向您介绍如何定位排查异常流量以及如何防护。

一、异常流量排查分析

1、如何定位恶意IP访问

分析OSS资源监控数据，查看是否存在恶意IP异常请求OSS资源。查看方法如下：

登录OSS管理控制台，单击您的Bucket名称进入Bucket详情页面，单击热点统计->热点，如下图所示：

您也可以直接分析OSS日志，获取IP访问TOP情况。日志分析可以通过日志分析工具进行，如awk，过滤非CDN回源请求的top ip：
cat rplog-rabbitpre2017-04-20-20-00-00-0001 |awk '{if ($(NF-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20 ；

OSS日志开启请查看设置日志，日志字段说明请查看OSS日志字段说明。

2、定位到恶意IP，如何防护

（1）、如果Bucket为私有权限

建议您迁移数据到新的Bucket中，新的Bucket私有，通过开启waf/高防防护的自定义域名对外服务。如何为Bucket开启WAF/高防防护请查看OSS提供的安全防护功能介绍。

（2）、如果Bucket为公共读权限

可以为Bucket私有对外提供签名URL访问（需要业务端集成签名算法有一定开发成本），Bucket私有可以增加恶意下载的成本。OSS签名URL算法请查看OSS签名URL算法，OSS签名URL实现的php demo请查看OSS签名URLdemo，OSS sdk获取签名URL请查看OSS SDK获取签名URL。

（推荐）或者迁移数据到另外的Bucket中，通过开启waf/高防防护的自定义域名对外服务，如何为Bucket开启WAF/高防防护请查看OSS提供的安全防护功能介绍。

或者迁移数据到另外的Bucket中，再使用自定义域名对外服务，开启CDN加速，利用CDN的IP黑名单进行限制访问，但是CDN IP黑名单存在条数限制。数据迁移请参考OSS importOSS，开启CDN加速请参考CDN加速OSS。

3、如何定位恶意referer访问

分析OSS资源监控数据，查看是否存在恶意referer异常请求OSS资源，查看方法如下：

登录OSS管理控制台，单击您的Bucket名称进入Bucket详情页面，单击热点统计->热点，如下图所示：

您也可以直接分析OSS日志，获取IP访问TOP情况。日志分析可以通过日志分析工具进行，如awk。OSS日志开启请查看设置日志，日志字段说明请查看OSS日志字段说明。

4、定位到恶意referer，如何进行防护

用户可以通过OSS管理控制台或者API的方式对一个Bucket设置referer字段的白名单和是否允许referer字段为空的请求访问。

例如，对于一个名为oss-example的Bucket，设置其referer白名单为http://www.aliyun.com/， 则所有referer为http://www.aliyun.com/的请求才能访问oss-example这个Bucket中的object。具体设置方法请参考：设置OSS防盗链。

二、高防/WAF如何防护OSS资源

1、高防防护OSS

（1）、自定义域名绑定Bucket，无需做cname解析到Bucket域名上，域名绑定请参考：高防防护OSS 域名绑定。

（2）、自定义域名配置高防，具体操作请参考：高防配置。

（3）、在域名服务商那边增加cname 解析，解析到高防提供的cname地址上即可。

2、WAF结合OSS使用

（1）、自定义域名绑定Bucket，但无需做cname解析到Bucket域名上，域名绑定请参考： 域名绑定。

（2）、自定义域名配置WAF，请参考：WAF配置。

（3）、在域名服务商那边增加cname解析，解析到WAF提供的cname地址上即可。

以上就是关于阿里云OSS异常流量排查及防护的说明。阿里云代理商凯铧互联提供阿里云服务器/企业邮箱等产品的代购服务，同样的品质，更多贴心的服务，更实惠的价格。 阿里云代理商凯铧互联会为您提供一对一专业全面的技术服务，同时还能为您提供阿里云其他产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠！若您需要帮助可以直接联系我方客服，阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7x24技术服务。 电话专线：136-5130-9831，QQ:3398234753。