防刷新、恶意攻击处理方案分析

网站、服务以及对外提供的接口等几乎所有的B/S、C/S应用，在运营的过程中，往往都有可能会遇到意想不到的暴力型攻击威胁，通常所说的有两类：恶意刷新、暴力破解（穷举），当然也不乏有应用漏洞扫描等，实现方式多样，大致有以下情形：

（1） 暴力猜测密码等敏感信息

（2） 恶意刷新页面，致使服务器处于繁忙应答状态

（3） 穷举验证码

（4） 后台扫描

（5） 合法业务的不合法现象（账号被盗而进行较大金额分散性转移）

（6） ……

当然以上的威胁场景，未必通过应用端组件的方式来完成拦截和丢弃，亦可以通过硬件层、服务层来配合完成安全策略（NetScaler、F5、IISetc.）。

本文通过阐述应用层限制用户恶意刷新的实现策略，侧向于宏观控制，仅供参考；微观行为控制可以通过业务策略抑或特定的规则策略来配合实现。

§、实现效果



采用旁路的方式来实现，即应用系统实时异步将流失日志发送到旁路分析系统，旁路分析系统发现可疑的IP和可疑的Account后，再将发现的恶意用户行为信息反馈给各应用系统并存入应用系统本机或者统一Cache中，采用此方式对系统增加的负载只有两点：

1） 发送UDP日志。由于UDP发送完全是非阻塞的，发送操作仅仅是将数据拷贝到操作系统缓冲区，因此发送带来的延时是小到可以忽略的。从整体负载方面来说一台机器网卡每秒大约能发送6万个UDP包，而一台Web Server上每秒处理的不过数百个，因此也几乎没有影响。

2） 判断用户是否是恶意account和恶意IP。因为恶意信息会发回到各应用Web Server本地存储，因此判断操作也只是一次内存读取操作，对性能几乎没有影响。

§、分析设计

旁路分析支持以下三类用户标识可访问性判断：用户、用户+IP、独立IP，即客户端更换IP、更换用户等信息密集型操作时，捕捉到恶意用户也可有一定的准确度。

UDP流水消息发送：



恶意用户判断：



旁路分析通知：



$、代码实现

(略)

§、总结

压力测试结果

并发50用户	开启前	开启后
吞吐量	323.1/s	303.9/s

旁路系统带来的好处主要包括下面几个方面：

1）风控策略系统可以将多方面的数据和历史统计数据进行汇总，可以实现较为复杂的策略判断。

2）恶意行为/监控打击的计算逻辑不影响主服务器自身的性能，不影响主服务器的正常运行。

3）相比硬件层、网络层用户控制，防刷组件可以较为灵活、相对全面的监控客户端行为，通过硬件层、网络层对用户行为控制和导向，在一定程度上只能做到宏

观，甚至有可能还会引起客观条件上的局限（硬件、网络、通信），另外诸多应用站点的密集管理，硬件、网络层的维护可能相对复杂、繁琐。

4）风控组件实现后接入简单，较为易用，有良好的可扩展性、可维护性、可分散性。自动屏蔽恶意海量请求的同时，也可疑对特定可疑IP进行手动添加、解禁处理。