导语:
首先CDN 并不清楚您的业务逻辑,所以默认是不会对访问作出限制的,需要自行按照业务情况去配置,如果您认为业务访问量并非可能达到这么大,可以下载日志根据您的业务访问情况,来做出相关访问限制。详情请参见日志下载。
首先了解下DDoS攻击和CC攻击类型:
DDoS攻击
DDoS攻击是一种基于DoS特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式,处于不同位置的多个攻击者同时向一个或多个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。攻击者进行一次DDoS攻击,需要经过了解攻击目标、攻占傀儡机、实际攻击三个主要步骤,如图1所示。
CC攻击
CC攻击是攻击者使用代理服务器向受害服务器发送大量貌似合法的请求,攻击者控制某些主机不停地发大量协议正常的数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃,如图2所示。
从上面说明可以看到,攻击其实也是用户发起的访问请求,恶意的访问从而导致正常业务无法访问。如果CDN不配置任何访问限制是无法进行主动识别,拦截异常请求。
流量异常分析
上述所讲攻击会造成流量异常升高,那我们如何从访问日志中进行分析查看呢?下面举例说明:
根据监控查看确定时间范围,下载对应时间日志
首先了解下访问日志对应字段含义
日志示例:
准备工作已经做完,接下来开始分析日志
1、利用Excel进行日志分析参考另外一篇文章 https://cloud.tencent.com/developer/article/1438319
2、这里展示一个shell脚本分析的结果(文章结尾附脚本)
运行shell脚本 待分析日志,按照需求输入编号
如下分析结果可以看到4个小时的日志除200状态之外触发了1091条IP限频,响应514状态。