家乐福迎击黑产，智慧零售时代的一场“暗战”

　　购物节前夕。
　　家乐福信息安全负责人老袁提高了警惕，经历过五次与DDoS、羊毛党和黄牛党的短兵相接的他，深知购物节前后是电商安全人员最紧绷的时候，大群牛羊们摩拳擦掌，等着收割各种优惠品、代金券，一场线上攻防战说来就来。
　　不出意料，购物节当天的早晨，他接到有关同事的消息，说遭遇了短信炸弹攻击，短信网关接近8点时并发量突然超过平时的十倍，一个小时后便恢复正常。这正好是家乐福从原来的WAF（Web应用防火墙）升级到了腾讯云WAF的第二天。
　　短信炸弹是羊毛党、黄牛党们最钟爱的武器之一，颇让他头疼。短信炸弹，简单来说就是利用网络中的第三方接口无限发送轰炸短信。
　　而对于电商而言，调用短信接口是要收取买路财的，多则一毛、两毛，少则几分，如果这个数量，在单个IP上变成了平常的十倍、百倍，再出现无数个这样的异常IP，企业就要为这些短信接口的滥用付出巨额通道费。
　　更可怕的是，如果用户在一天之内收到几十上百条来自家乐福的短信，分分钟会当场卸载这个APP。
　　战斗，一忌轻视对手，二忌经验不足，三忌战术单薄。
　　虽然只是短短一小时的异常，但凭借多年跟黑产交锋的职业嗅觉和历史教训他的前东家曾在春节档被短信炸弹攻击到每天损失十几万老袁还是察觉到了一丝诡异，这很可能是黑产对于对手战力投石问路式的试探，如果一时麻痹大意，很可能会引来更大规模的挑衅和进攻。
　　经过和腾讯云安全WAF团队确认和交流，老袁发现这是腾讯云WAF非常典型的业务场景，简单来说，就是黑产撞到了枪口上。腾讯云安全团队向老袁分享了类似攻击事件的防护经验，并且再次讲解了腾讯云WAF在BOT行为中的防护原理。
　　武器在手，军师在后，老袁决定上阵迎战。他登陆进腾讯云WAF去查看行为分析数据后，发现在当天凌晨和早上接近9点时，短信API接口的访问频次异常高，再展开细化日志分析，有多个IP以每分钟高达470500次的速度进行访问这显然不是正常人类的速度，看不到尽头的网线背后，可能是一个用心险恶的黑产军团。
　　一般搞电商的企业都熟悉且困扰于两类攻击。
　　一种是典型CC攻击，这是一种针对网页的攻击，原理是模拟多个用户正常访问目标网站，例如制造大量后台数据库的查询动作占用正常请求资源。它鸡贼之处在于，这种访问本身属于正常请求，但当这种正常请求达到一定程度的时候，服务器就会反应不过来直到宕机，也就是APP会出现反应慢、账号登录不成功、无法下单、白屏等现象。这也是为什么每次购物节当大家忙着剁手的时候，各大电商的机房灯火通明，程序员软件硬件都用上外加紧张观察，就是怕服务器崩掉了带来惨重损失。
　　这次的短信炸弹可以理解成一次CC攻击，老袁第一时间对遭攻击的短信接口做了腾讯云WAF的前刹车防护，也就是设置了CC防护的规则，把对短信接口访问上限定为每分钟150次，超过这个阈值的IP，腾讯云WAF会根据算法第一时间判断究竟是真人还是机器访问，被判断为机器的IP将会被封禁访问，这也是腾讯云WAF自带可选的惩罚机制。
　　但一场漂亮的战役，不应该只是城楼退敌，更应断其后路。
　　CC攻击往往只是敌人的先行兵，更可怕的是后续可能会出现的慢BOT攻击。这种战术更有耐心且隐蔽，敌人会仔细侦查对外开放的每一个接口，对开销较大的接口，以较慢的速度长时间挂在你家的网上，消耗大量资源。
　　举个例子，假设一个正常的客人访问家乐福网上商城，完整地经历了注册、登录、不小心忘记密码、支付等验证环节，他可能一天内接收不超过20次来自家乐福的短信，但他不会天天重复这些环节可是黑产会，他会肆无忌惮地使用注册软件和随时号码反复调用接口，同时黑产会发动羊毛党把调用次数进行几何级放大，像一群虎视眈眈又极有耐心的秃鹫，终有一天你会扛不住，那就是我啄食的时机。这样对网站的损伤也非常大。
　　考虑到这种情况，老袁的团队开始启用之前和腾讯云WAF团队交流时重点关注的BOT管理功能，使用BOT行为管理进行安全策略定制，将每个用户每天访问短信端口次数超20次以上的会话统统拦截，相当于开启了后刹车。
　　懂行的人都知道，WAF的拦截属于硬核杀伤，当触发了它的阈值，用户IP就会被铁面无私地直接封掉；同时它又是一件可以动态调试的武器。腾讯云WAF采用自研基于概率图的威胁AI技术，一方面可以更精准地拦截攻击；同时通过行为分析和对具体业务场景设置动态防护策略，在不断对抗过程中，会摸清黑产的攻击策略，将其置之死地。整个过程，帮助客户梳理清楚业务逻辑，为业务调整优化提供依据，这就是腾讯云WAF使用策略中的第三道防线。
　　老袁在这个过程中也稍稍栽了下跟头拦截CC和BOT攻击的时候，只考虑到拦截同一个IP的异常访问，却忽略掉在顾客在大卖场、在咖啡厅里使用公共WIFI访问网上商城的共享式IP场景。意识到这个问题后，他们迅速调整代码逻辑，对每个用户使用短信接口场景进行优化，这个小小的插曲很快被解决。
　　设下以上的三道防线后，家乐福网上商城当天几乎是立刻止血，不再出现短信接口的异常访问！
　　第一场交锋家乐福的轻松取胜，让本想挑衅的黑产团伙恼羞成怒，两天以后的早晨八点看来这是这个黑产团伙颇为偏爱的时间点家乐福的线下门店正在搞活动，老袁的手机再次被打爆，说是公司的APP严重卡死、白屏。黑产团伙开始对家乐福的特定几个URL，发起持续猛烈的攻击，访问量超过700万次，导致服务器压力增大，出口业务的带宽被打满，正常用户没办法访问APP和网页，用行话说，家乐福的网站被核了。
　　黑产主要从以下四条小道进行突击猛攻：首先是狂刷用户行为采集的接口，频率高达300400次每秒，这个接口主要是记录用户访问家乐福APP的行为，再写入数据库；二是瞄准APP版本检查接口，也就是模仿一个过分焦虑的强迫症者，一遍遍刷新查询版本有没有更新，每天超过几百万次，导致APP带宽被恶意消耗掉；三和四分别是查看商品库存和查看购物车，派机器人一遍遍去看商品还剩多少、购物车里有啥，让数据库读写高到爆满。
　　可以说，为了在这个购物节里打垮家乐福，黑产团队也是倾巢而出，用上了最前沿的技术，大有不死不休的架势。
　　老袁再次用三道防线的策略迎战，而且这次，他跟他手上的武器已经培养出了默契。腾讯云WAF本身具备WAF的通用特性硬核杀伤，而且更敏捷、更精准，忠实于战士们设定的CC防护规则和BOT策略，你让我拦谁我就不留情面地把符合条件的人统统拦截，反手还要送他们的IP一个查封。
　　但只要战术得当，这把硬核武器可以完成温柔的杀戮，把黑产拦在门外，同时保证正常用户访问，这也是家乐福最后赢下这场硬仗的制胜关键：设计CC防护和BOT防护规则的过程中，还要理顺代码逻辑，并且结合实际的业务场景进行针对性的规则调整，剩下的交给WAF，兵不血刃便已退敌千里。
　　值得一提的是，腾讯云WAF对于触犯规则被封禁的IP，也不是痛打落水狗式的一棍打死、彻底封禁，而是三天后自动解封这么做的策略主要在于防止这些IP落到真实用户的手里，导致真正的金主爸爸无辜被挡在门外；而如果IP一直攥在黑客手里，那好办，一直封禁一直爽，这样的IP会被放入到腾讯云安全的威胁情报数据库，让黑客无法利用该IP为非作歹。
　　随着数字化转型的加快，越来越多的安全问题一一暴露，零售商和黑产之间的战争只会越发激烈。在这场斗争中，零售决策者们必须把对安全问题的关注提升到新的高度，因为这极有可能决定一个企业发展的天花板在哪里。刚刚转向电商的传统零售商们，在零售红海中迎着数字化转型大潮，面对着来势汹汹、弹药充足的黑产军团，或许要试着将自己的后背交给专业的安全厂商，才能将数量庞大的牛马羊黑产群体斩在马下。
　　来源：商界