文档中心
> 对象存储 OSS
对象存储 OSS
- 新功能发布记录
- 产品简介
- 计量计费
- 快速入门
- 开发指南
- 常用工具
- SDK 示例
-
API 参考
- 简介
- API概览
- 公共HTTP头定义
- 访问控制
- 关于Service操作
-
关于Bucket的操作
- PutBucketACL
- PutBucket
- PutBucketLogging
- PutBucketWebsite
- GetBucketWebsite
- PutBucketReferer
- GetBucket (ListObjects)
- GetBucketAcl
- GetBucketLocation
- GetBucketInfo
- GetBucketLogging
- GetBucketReferer
- GetBucketLifecycle
- DeleteBucket
- DeleteBucketLogging
- DeleteBucketWebsite
- DeleteBucketLifecycle
- PutBucketLifecycle
- 关于Object操作
- 关于MultipartUpload的操作
- 跨域资源共享
- 关于LiveChannel的操作
- 控制台用户指南
- 最佳实践
- 数据处理
- 常见错误排除
-
常见问题
- 一般性问题
- 数据迁移/同步
- 计量计费
-
上传/下载
- OSS怎样上传下载文件夹/目录?
- OSS使用SDK如何向私有Bucket上传文件
- iOS SDK是否支持后台上传
- 大文件如何上传?
- OSS可以上传同名文件吗?
- OSS如何查看文件的上传/下载进度?
- 关于append操作的几个注意事项
- OSS上传提示Name or service not known报错
- osscmd工具上传提示InvalidBucketName报错
- 调用Callback时页面显示400 call back error
- OSS服务.netSDK中使用MemoryStream上传文件为空的解决方法
- OSS下载rar格式文件,打开后乱码
- IE浏览器下载OSS文件后扩展名被省略
- OSS支持FTP吗?
- OSS文件实现强制下载的方法
- OSS Post请求的Policy设置方法
- OSS通过range参数获取部分文件
- OSS的文件更新后,部分地区下载的文件仍是旧的版本
- 在OSS控制台中读请求与写请求次数统计的来源
- 使用OSS的JS SDK上传大于100K的文件时报错
- 安全性
- 数据保护
-
域名/网络
- OSS如何查看Bucket内网、外网域名地址
- ECS用户如何正确使用OSS内网地址?
- OSS是否支持Bucket作为三级域名的访问方式?
- OSS是否支持HTTPS访问
- 通过反向代理访问OSS的HTTPS域名
- OSS+CDN访问文件直接下载
- OSS设置Object更新时自动刷新CDN缓存
- OSS使用SDK访问Bucket提示Endpoint错误
- OSS设置CORS规则以后还是报No 'Access-Control-Allow-Origin'的解决方法
- 访问OSS资源或者使用SDK时提示“ using the specified endpoint”
- OSS绑定域名时验证域名所有权
- 为什么OSS内网域名无法ping通
- DNS解析
- 站点中如何应用OSS资源
- OSS如何开启CDN加速服务
- OSS触发FIN的条件
- OSS上传或下载的带宽限制
- OSS上传慢
- 如何停止绑定域名时默认开启的CDN服务?
- 如何设置HTTPS证书托管
- 对象存储OSS中Bucket的访问域名使用介绍
- 资源监控
-
存储空间(bucket)管理
- 如何获取OSS上每个文件夹的大小
- OSS中可以重命名Bucket吗?是否支持Object迁移?
- OSS如何一键删除Bucket
- OSS对object和目录的移动与修改操作
- OSS的Bucket、Object、文件目录命名规范汇总
- OSSFS通过www账户挂载Bucket
- OSS API设置LifeCycle提示时间格式错误
- OSS开启访问日志
- 查找OSS Object的访问操作记录
- OSS日志里面206代表什么
- OSS的Bucket每天会自动生成名称中包含日期的Object
- OSS数据操作常见问题FAQ
- Bucket下出现异常文件如何排查
- 如何查看存储空间大小
- OSS可创建Bucket个数限制,容量是否需要扩容?
- 如何删除Bucket
- 文件(object)管理
- 签名
- API/SDK
-
图片处理
- OSS图片处理服务不支持ICO格式图片
- OSS图片处理服务绑定域名时提示:域名绑定在自己的其他Bucket上
- 对象存储OSS控制台操作—图片鉴黄
- OSS上传图片时exif信息处理规则
- PHP SDK 2.0.1是否支持图片处理服务
- OSS 图片处理服务配置文件缓存的方法
- 图片处理服务处理后的PNG图片的透明背景变黑
- OSS 图片处理如何保护原始图片不被访问
- OSS图片处理访问报Forbidden access to the original image错误的处理方法
- 使用图片处理服务,原图无法访问。报错accessdenied。
- OSS图片处理服务导致CORS配置失效
- OSS图片处理URL访问报错NoSuchStyle, NoSuchKey, NoSuchFile
- 图片的原图是正常的,被图片处理后就旋转了,该怎样处理
- OSS图片处理对原图和缩略图的限制说明
- OSS 如何将图片强制缩放成正方形并且不裁剪
- 图片处理服务是否可以支持跨域操作
- OSS上传图片访问URL返回http code值为403
-
视频专区
- 对象存储OSS简介
- 对象存储OSS控制台—上传下载
- 对象存储OSS控制台—图片处理
- 图片处理-控制台配置详解
- 域名绑定与使用详解
- Bucket Policy简介
- Bucket Policy 应用案例
- Bucket Policy高级应用案例
- 控制台使用入门(I)
- 控制台使用入门(II)
- 对象存储OSS基本概念讲解
- 对象存储OSS控制台—CDN加速OSS
- 对象存储OSS如何创建bucket
- 对象存储OSS基本文件操作
- 对象存储OSS数据迁移功能(I)
- 对象存储OSS数据迁移功能(II)
- 对象存储OSS数据迁移功能(III)
- 对象存储OSS防盗链功能
- 对象存储OSS跨域(CORS)管理功能
- 对象存储OSS静态网站托管功能
- 对象存储OSS权限控制功能
- 对象存储OSS日志统计功能
- 对象OSS生命周期(LifeCycle)管理功能
- 对象存储OSS域名管理功能
- 对象存储OSS文件(Object)管理功能
- 对象存储OSS控制台—总体概览页
- 对象存储OSS控制台—资源监控页
- 对象存储OSS控制台—碎片管理页
- 对象存储OSS控制台—图片鉴黄
- 对象存储产品介绍
- 图片处理功能讲解
- 【云吞铺子】阿里云三种存储产品该怎么选择?
- 相关协议
OSS异常流量排查及防护
更新时间:
访问次数:3429
概述
OSS被攻击恶意刷流量,出现大量的异常流量时,可能是由于恶意Referer盗链或者恶意IP请求访问OSS资源导致的。针对该情况,本文介绍如何排查及防护OSS的异常流量。
详细信息
排查并分析异常流量
异常流量主要分为恶意IP访问和恶意Referer访问,详情如下:
恶意IP访问
通过如下两种方法,定位恶意IP,然后参见防护恶意IP,进行防护。
OSS管理控制台的热点统计数据
通过对象存储OSS管理控制台的热点统计数据,进行恶意IP定位,详情请参见用量查询。
- 登录OSS管理控制台,在左侧导航栏中单击Bucket列表,选择目标Bucket的名称进入Bucket概览页面。
- 菜单栏中依次选择数据统计>热点统计,切换到热点标签页。
- 查看IP(TOP 10)列表,结合业务的实际情况判断这些IP对应的错误访问次数、流量以及PV是否正常。
Bucket的访问日志
可通过以下两种方法查看Bucket的访问日志:
- 访问日志存储
此方法需要Bucket已经开启OSS访问日志,详情请参见开启OSS访问日志。通过日志分析工具分析Bucket的访问日志,例如使用awk命令过滤非CDN回源请求的Top IP地址,示例命令如下。最终判断Top IP是否为恶意IP。cat mylog-oss-example2017-09-10-04-00-00-0000 |awk '{if ($(NF-1) ~/-/) print $1}' | sort |uniq -c|sort -nr -k 1|head -20
说明 :OSS日志各字段说明请参见 访问日志存储 。
- 实时日志查询
通过查看实时日志,过滤非CDN回源请求的Top IP地址,详情请参见实时日志查询。
防护恶意IP
根据Bucket的访问权限选择对应的防护方法:
- Bucket为私有权限:建议迁移数据到新的Bucket中,详情请参见迁移数据,新Bucket的访问权限也应该为私有,通过高防IP或者WAF防护的自定义域名对外提供服务,详情请参见自定义域名。
- Bucket为公共读权限:建议选择下列一种防护方法。
恶意Referer访问
通过以下两种方法,定位恶意Referer访问,然后通过OSS管理控制台或者API的方式设置Bucket的防盗链进行防护,详情请参见防盗链。
OSS管理控制台的热点统计数据
- 登录OSS管理控制台,在左侧导航栏中单击Bucket列表,选择目标Bucket的名称进入Bucket概览页面。
- 菜单栏中依次选择数据统计>热点统计,切换到热点标签页。
- 查看Refer(TOP 10)列表,结合业务的实际情况判断Refer对应的访问次数是否正常。
Bucket的访问日志
可通过以下两种方法查看Bucket的访问日志:
- 访问日志存储
此方法需要Bucket已经开启OSS访问日志,详情请参见开启OSS访问日志。通过日志分析工具分析Bucket的访问日志,例如使用awk命令过滤Top Referer,判断其是否为恶意Referer。
说明 :OSS日志各字段说明请参见 访问日志存储 。
- 实时日志查询
通过查看实时日志,过滤非CDN回源请求的Top IP地址,详情请参见实时日志查询。
针对攻击的预防措施
当您的OSS Bucket遭受攻击或通过Bucket分享违法内容,OSS会自动将Bucket切入沙箱。沙箱中的Bucket仍可以正常响应请求,但服务质量将被降级,您的应用可能会有明显感知。为防止您的Bucket因攻击原因被切入沙箱,可以按照以下方案添加预防措施:
说明:若您的Bucket被切入沙箱,请参见OSS沙箱,进行处理。
OSS高防
OSS高防是OSS结合DDoS高防推出的DDoS攻击代理防护服务。当受保护的存储空间(Bucket)遭受大流量攻击时,OSS高防会将攻击流量牵引至高防集群进行清洗,并将正常访问流量回源到目标Bucket,确保业务的正常进行。您只需在OSS管理控制台进行简单的配置即可开启Bucket的高防保护。具体配置方式,请参见配置OSS高防。
高防IP防护
参考如下步骤,通过高防IP防护OSS。更多信息请参见高防IP接入配置。
- 登录OSS管理控制台,开启Bucket的自定义域名,详情请参见自定义域名,但是不要在DNS中添加CNAME解析到Bucket域名。
- 登录云盾DDoS防护管理控制台,配置高防IP,将自定义域名作为被防护的网站,Bucket域名作为高防IP的源站域名。
- 登录云解析DNS控制台,配置DNS解析,为自定义域名添加一条CNAME记录,指向高防IP提供的CNAME地址。
WAF防护
参考如下步骤,通过WAF防护OSS。更多信息请参见WAF使用教程。
- 登录OSS管理控制台,开启Bucket的自定义域名,详情请参见自定义域名,但是不要在DNS中添加CNAME解析到Bucket域名。
- 登录Web应用防火墙控制台,配置Web应用防火墙,将自定义域名作为网站域名,Bucket域名作为WAF的回源域名,详情请参见网站接入。
- 在左侧导航栏,单击资产中心>网站接入。
- 在域名列表中定位到已添加的域名,将光标悬置在域名上,查看并复制域名对应的WAF CNAME地址。
- 登录云解析DNS控制台,配置DNS解析,为自定义域名添加一条CNAME记录,指向WAF提供的CNAME地址,详情请参见修改域名DNS。
适用于
- 对象存储OSS