阿里云盾（云安全）是什么？有什么作用？

阿里云盾（云安全）是阿里巴巴集团多年来安全技术研究积累的成果，结合阿里云云计算平台强大的数据分析能力。为中小网站提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防DDOS等一站式安全服务。阿里云盾每天保护着全国超过37%的网站，致力于成为互联网安全的基础设施，云盾旗下包括DDoS高防、web应用防火墙、服务器安全(安骑士)、先知、态势感知等安全产品及服务。

一直以来，阿里云将网络安全视为生命，曾先后多次推出安全防护功能，比如：DDOS高防、CC安全防护、云监控、安全组等系列功能。云盾防护不仅丰富了阿里云安全防护产品线，更进一步保障了用户网站及数据安全。

阿里云盾使用重要知识点：

1. 云盾提供什么服务？

2. 云盾控制台补丁管理使用方法

3. 云盾开启补丁管理功能 （web shell自动修复功能）

购买云服务器 ECS 即可免费使用云盾的基础功能，帮您轻松应对各种攻击、安全漏洞问题，确保云服务稳定正常。

DDoS防护

包含1-5G的DDos防护和基础Web攻击，防护类型包括CC、SYN flood、UDP flood等所有DDoS攻击方式；提供5分钟到7天范围的防护带宽报表，并且提供实时防护带宽展示；根据业务自动计算清洗阀值。

服务器安全

包含高危漏洞修复、登录检测和防密码破解、木马文件云查杀等防入侵功能。支持各云平台 Windows、Linux 云服务器安装部署。

应用防火墙

基于阿里云百万个应用做大数据分析，对各种web攻击做出快速响应，让黑客无可乘之机；专业安全团队每天更新防护规则，告别天天担忧的日子。

信息安全

提供多种违规内容的实时监控和检测；可分时段、分方式进行消息提醒，灵活配置接收邮箱或手机；提供“疑似违规”及“违规记录”模块，方便用户快速查阅及操作。

阿里云盾热门产品：

云安全中心（态势感知） ：有效保护主机安全，让安全运维变得简单，防勒索防篡改。

Web应用防火墙(WAF) ：中国区市场占有第一的云WAF,适用于网站、小程序、H5等的安全防护。

SSL证书 ：网站必备安全产品，解决网站在浏览器显示”不安全“的提示。

DDoS防护 ：覆盖全球的DDoS防护网络，快速解决攻击造成的延迟、业务中断。

直接攻击：主要针对有重要缺陷的WEB应用程序，一般说来是程序写的有问题的时候才会出现这种情况，比较少见。

僵尸网络攻击：有点类似于DDOS攻击了，从WEB应用程序层面上已经无法防御。

代理攻击：CC攻击者一般会操作一批代理服务器，比方说100个代理，然后每个代理同时发出10个请求，这样WEB服务器同时收到1000个并发请求的，并且在发出请求后，立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死，而不能发动再次请求，这时WEB服务器会将响应这些请求的进程进行队列，数据库服务器也同样如此，这样一来，正常请求将会被排在很后被处理，就象本来你去食堂吃饭时，一般只有不到十个人在排队，今天前面却插了一千个人，那么轮到你的机会就很小很小了，这时就出现页面打开极其缓慢或者白屏。

3

攻击者的升级

一般我们遇到的情况，就是几个IP，不断的访问网站请求资源。

之前CC攻击的手段是攻击网站的任何一个页面，后来有了统计工具，攻击的时候IP就会被记录下来，于是做坏事的人就换了方法——去登陆页面或者管理后台这样没有统计代码的地方搞破坏。但是新的PHP代码解决方案出来了，通过SESSION来记录刷新的次数，然后针对超过在规定时间内访问次数的IP，进行页面重定向；只要是页面总会有代码，所以这个PHP的解决方案在当时也是很有效的。

然而事情并没有到此结束！最近我看了系统日志，才发现，攻击者开始不对页面进行CC攻击了，而是对着站点的favicon.ico进行CC攻击，这么个小文件几乎每个网站都有。而且这样的文件，根本防不胜防了。即使你用了诸如七牛CDN之类的CDN，访问源站的地址还是会访问到的。

升级版的解决方案

对于这样的攻击，我是无计可施了，我百度和谷歌了相应的解决方案，找到了以下几个比较靠谱的手法，供大家参考：

4

域名解析

暂时暂停一下域名的解析：本方法适合域名真实IP还没有暴露的朋友们，如果CC攻击者是通过域名攻击你的网站的，那么我们暂时让他们攻击失效，一会儿就会好起来。

或者你也可以把自己的域名解析到127.0.0.1上，让攻击你的CC狂魔来反攻击自己的服务器。

5

防火墙

安装防火墙：如果你是VPS用户，可以试试阿里云盾，或者CSF这款免费的防火墙程序。顺便附上一行CSF防火墙有效设置防止CC攻击的设置行：首先用vim命令打开csf.conf，然后修改一行命令：

vim /etc/csf/csf.conf

PORTFLOOD = "22tcp5300,80tcp205"

6

设置IP黑名单

这个方法实际上也是最无奈，也是最有效的方案。我在寻找CC攻击的解决方案的时候看见了月光博客发的博文，虽然月光没有给出他的代码，但是他说了他的思路就是屏蔽IP黑名单。像月光博客这么大的网站，黑名单IP也只有100多条。于是我决定自己找出这些老鼠屎手动屏蔽之。

打开网站访客日志，查看异常IP，进行屏蔽。为了大家看的清楚，我这里用Cpanel面板截图：

7

点击最近访客就可以进去查看网站的访客和他们的浏览行为了。哪些IP是可疑的？

短时间内频繁访问网站的IP；

User Agent中包含MSIE 6.0的IP，这个年代，身为人类，用这个浏览器的人不多，经过我的观察，100%的恶意CC攻击的IP都是来自这个UA，其实我早就想把所有的IE6.0用户排除我的网站了，正常的访客，一个月里面也没有几个会用IE6.0浏览器的了；

访问favicon.ico次数频繁的IP，前面说了，不解释；

来自同一频段的IP，比如168.168.121.9和168.168.119.8这样相近的IP如果多次出现在你的访客中，显然都是一伙的来刷CC的，屏蔽掉。

---