安全保卫战——家乐福618安全与性能之战(22)
什么是围点打援呢?就是我上文提过的,一定一定要多使用合理的业务逻辑、后台的双重校验去对抗黑产的行为,那么配置精良的WAF上一般是可以去做组合业务逻辑的编织工作的,使用这种业务逻辑编织出来的“网”其实是具有很强杀伤力的。基本上是来一个“有违逻辑”的请求就杀一个。
举2个典型的攻防例子
WAF攻防案例- CC + BOT防脉冲式攻击
同样还是使用相关的案例,这个Bot在被第二层Bot拦截后它会“变种”。
WAF攻防案例- CC+BOT被反弹
在这个被反弹的案例中,我们就不能使用Bot再作基于频次的“杀”了,而是要使用Bot的特性对于Ref头或者是UA(User Agent)来进行封。
我举一例来説,我们有一个URL,它的频次阀值为每分钟允许值在3,000次。有些人会问,你怎么会设这么高的值?我反问这个人,为什么不能允许这个值?
推荐阅读
- 游戏版号|解决游戏安全问题刻不容缓,腾讯《白皮书》呼吁共建共治
- 暗区突围|新游预报(11.1~11.7)《暗区突围》《王国保卫战》系列领衔
- 许秀|塔防神作来了!《王国保卫战4》官宣将于11月4日正式上线
- 宿舍|“宿舍安全检查在男寝搜出来了32个望远镜,又在女寝搜出来”
- 百里守约|队友选什么英雄最有安全感?玩家:百里守约!看到原因我笑了
- 鱿鱼游戏|《鱿鱼游戏》不仅绿衣人会死,粉衣人也不安全,他们也并不想害人
- 地下城与勇士|DNF:国服最安全的账号,放着也没人敢盗,上个盗他号的才出狱
- 单机|Poppy评RNG队员:Wei最认真,Cryin总能给人安全感
- 王者荣耀|王者荣耀:没有未成年玩家后,安全裤也不用加长了,玩家直呼漂亮
- 猫神|王者荣耀更新:女英雄的安全裤全部删除,还给减布料了