发布时间:2026-06-25 | 作者:主机吧 | 阅读时长:12 分钟 | 难度:⭐⭐⭐ 进阶 |
核心摘要:爱富网单日遭受 305.7 万次攻击,其中 296 万次为 CC 攻击、9.2 万次为自定义策略拦截、2400+ 次 IP 黑名单命中。本文基于 2026-06-25 百度云防护控制台真实数据,完整还原该站如何通过自定义规则 + JA3/JA4 指纹识别 + 精准频率限制 + IP 黑名单联动四层防御体系,实现图片资源防盗链、恶意爬虫拦截、CC 攻击无感防护。每条规则均附带配置截图与参数说明,可直接复制到你的站点使用。
一、案例背景:一个被疯狂”薅羊毛”的网站
1.1 受害站点概况
| 项目 | 信息 |
|---|---|
| 客户域名 | www.aifu360.com / *.aifu360.com |
| 业务类型 | 资讯/商情类网站(含大量图片资源) |
| 接入产品 | 百度云防护 Web 应用防火墙(专业版 SaaS WAF) |
| 防护日期 | 2026-06-25(24 小时) |
| 防护节点 | 华北-北京 |
1.2 当天攻击总览(来自安全总览面板)
┌─────────────────────────────────────────────────────┐
│ 安全统计 │
├──────────┬──────────┬──────────┬──────────┬─────────┤
│ 请求次数 │ 攻击次数 │Web基础防护│自定义防护│ CC防护 │
│6,147,997 │3,057,492 │ 718 │ 92,106 │2,963,981│
├──────────┼──────────┼──────────┼──────────┼─────────┤
│ 流量防护 │ BOT防护 │ 事件总数 │
│ 687 │ 0 │ 305.7万 │
└──────────┴──────────┴──────────┴──────────┴─────────┘
📊 核心解读:
- 总请求数 614 万,其中 305.7 万为恶意攻击,占比 49.8%
- 近一半流量是攻击!如果没有 WAF,源站直接瘫痪
1.3 攻击事件分布
| 防护模块 | 拦截次数 | 占比 | 说明 |
|---|---|---|---|
| CC 防护 | 2,963,981 | 97.0% | 绝对主力——高频 CC 爬取 |
| 自定义防护 | 89,691 | 2.9% | 规则匹配拦截 |
| IP 黑名单 | 2,415 | 0.08% | 已封禁 IP 再次尝试 |
| 敏感信息探测 | 714 | 0.02% | 扫描器探测 |
| Web 基础防护 | 718 | 0.02% | XSS/SQL 注入等 |
| 流量防护 | 687 | 0.02% | 异常大流量 |
二、攻击特征深度分析
2.1 攻击者到底在干什么?
从受攻击 URL TOP 可以清晰看到攻击者的目标:
| 排名 | 受攻击 URL | 次数 | 攻击意图 |
|---|---|---|---|
| 1 | /member/aifu360_b.php | 11,800 | ⚠️ 会员接口高频调用 |
| 2 | /skin/default/images/gn-xg1.png | 4,431 | 🖼️ 图片资源盗链 |
| 3 | /file/upload/20231109/10337048.jpg | 4,076 | 🖼️ 上传目录图片盗链 |
| 4 | /file/upload/20231109/14370948.jpg | 4,002 | 🖼️ 上传目录图片盗链 |
| 5 | /file/upload/20231109/2737948.jpg | 3,865 | 🖼️ 上传目录图片盗链 |
结论:攻击者在做两件事:
- 批量爬取网站图片资源(用于镜像站/盗用/转卖)
- 高频调用会员接口(可能用于数据采集或接口爆破)
2.2 攻击源 IP 分析
| 攻击源 IP | 攻击次数 | 特征 |
|---|---|---|
| 42.187.135.241 | 101,353 | 🔴 高频攻击源(C 段集中) |
| 42.187.135.106 | 92,834 | 🔴 同 C 段 |
| 154.8.248.42 | 80,884 | 🟡 另一攻击团伙 |
| 42.187.135.82 | 79,744 | 🔴 同 C 段 |
| 42.187.132.81 | 74,147 | 🔴 同 C 段 |
⚠️ 关键发现:
42.187.135.0/24这个 C 段贡献了 348 万次攻击中的 34.8 万次,占攻击总量 11.4%。这是一个典型的机房级攻击源。
2.3 攻击地理分布
| 地区 | 攻击次数 | 占比 |
|---|---|---|
| 天津 | 1,346,015 | 44.0% |
| 南京 | 510,796 | 16.7% |
| 北京 | 135,246 | 4.4% |
| 重庆 | 119,466 | 3.9% |
| 成都 | 116,639 | 3.8% |
天津占比高达 44%——如果该站业务不面向天津地区用户,地域封禁可一次减少近一半攻击量。
三、爱富网的四层防御体系详解
基于截图中的规则配置,该站部署了四层纵深防御:
第一层:自定义规则 — 图片防盗链 + 恶意爬虫识别
第二层:JA3/JA4 指纹 — 指纹级 CC 识别
第三层:精准 CC 频率限制 — 同指纹 10 次/200 秒触发
第四层:IP 黑名单 — 自动封禁持续作恶的 IP(1440 分钟)
四、规则一:图片资源防盗链(自定义规则)
这是最基础的防线——阻止外部站点直接引用你的图片。
4.1 规则配置参数
| 配置项 | 值 | 说明 |
|---|---|---|
| 规则名称 | 图片拦截 | 清晰命名便于管理 |
| 接入类型 | SaaSWAF | 云端 SaaS 模式 |
| 优先级 | 1 | 较高优先级先执行 |
| 处置动作 | 拦截 | 返回 403/自定义页面 |
| 生效模式 | 永久生效 | 持续生效 |
4.2 匹配条件(AND 逻辑)
条件组 1(且):
├─ Referer 不包含任一值:aifu360.com
└─ URI 包含多值之一:jpg, png, js, css
含义:当请求满足以下两个条件同时成立时触发拦截:
- Referer 头不包含
aifu360.com(即非本站引用) - URL 路径包含
.jpg/.png/.js/.css
4.3 效果
正常用户浏览器访问(Referer 含 aifu360.com)→ ✅ 放行
第三方网站盗链图片(Referer 为其他域名)→ ❌ 403 拦截
爬虫直连下载图片(无 Referer)→ ❌ 403 拦截
4.4 你可以直接复制的规则模板
在百度云防护控制台操作路径:
防护配置 → 自定义防护 → 新建规则 → 填入以下参数
| 字段 | 填写值 |
|---|---|
| 规则名称 | 图片防盗链拦截 |
| 接入类型 | SaaSWAF |
| 处置动作 | 拦截 |
| 优先级 | 1 |
| 条件 1 | Referer → 不包含任一值 → 你的域名(如 zhujib.com) |
| 条件 2 | URI → 包含多值之一 → jpg, png, webp, gif |
| 条件关系 | 且(AND) |
| 生效模式 | 永久生效 |
五、规则二:JA3/JA4 指纹拦截采集(高级指纹识别)
这是本次案例的核心亮点——利用 TLS 指纹技术精准识别自动化工具。
5.1 什么是 JA3/JA4 指纹?
| 指纹 | 全称 | 原理 | 能力 |
|---|---|---|---|
| JA3 | TLS Client Hello Fingerprinting | 对 TLS 握手中的 Cipher Suites、Extensions 等字段做 MD5 哈希 | 识别客户端工具类型(浏览器 vs 爬虫) |
| JA4 | JA3 的进化版 | 使用更丰富的 TLS 字段 + 更好的抗混淆能力 | 比 JA3 更难绕过,准确率更高 |
简单理解:
真实 Chrome 浏览器 → JA3 = abc123... (正常指纹)
Python requests 库 → JA3 = xyz789... (异常指纹)
curl 工具 → JA3 = def456... (异常指纹)
即使攻击者换了 IP,只要工具不变,JA3/JA4 指纹就不变——这就是为什么它能比 IP 黑名单更有效。
5.2 规则配置参数(JA3 指纹拦截采集集)
| 配置项 | 值 |
|---|---|
| 规则名称 | JA3指纹拦截采集集 |
| 接入类型 | SaaSWAF |
| 优先级 | 0 |
| 匹配条件 | JA3 等于多值之一 |
| 指纹值 | 8bee49baa010986785a9e74d688ed7e9、6d5f35fb72434359b41a74ad9f23d7393 |
| 处置动作 | 拦截并追加封禁 |
| 封禁时长 | 1440 分钟(24 小时) |
5.3 关键设计:拦截并自动封禁
检测到异常 JA3 指纹
↓
立即拦截当前请求(返回 444)
↓
将该请求源 IP 加入临时封禁名单
↓
封禁时长 1440 分钟(24 小时)
↓
封禁期内该 IP 所有后续请求均被拦截
这个设计非常聪明——不是只拦这一次,而是发现一个坏 IP 就自动封禁一天,彻底阻断后续攻击。
5.4 JA4 指纹规则(更高级)
| 配置项 | 值 |
|---|---|
| 规则名称 | JA4指纹拦截采集集 |
| 优先级 | 10 |
| 匹配条件 | JA4 等于多值之一 |
| 指纹值 | t13d1516h2_8daaf6152771_d8a2da3f94cd |
| 处置动作 | JS 挑战 |
JS 挑战 vs 直接拦截的区别:
| 处置方式 | 适用场景 | 说明 |
|---|---|---|
| 拦截 | 确认是恶意工具 | 直接断开,返回 444 |
| JS 挑战 | 存疑但不确定 | 返回 JS 验证脚本,真人浏览器能通过,自动化工具不能 |
JA4 规则用了 JS 挑战而非硬拦截,说明这个指纹可能是某些边缘浏览器的误报风险较高,用挑战验证来二次确认。
六、规则三:爱富网 JA3 精准自定义 CC 防护(核心大招)
这是整个防御体系的王牌规则——将 JA3 指纹与频率限制结合,实现指纹级的 CC 攻击精准打击。
6.1 规则配置全貌
| 配置项 | 值 | 说明 |
|---|---|---|
| 规则名称 | 爱富网JA3指纹拦截 | 命名清晰 |
| 优先级 | 9 | 高优先级(仅次于 JA4 的 10) |
| 防护类型 | 精准自定义 CC | ⭐ 核心亮点 |
| 匹配条件 | URI 包含 / | 匹配所有路径 |
| 统计信息维度 | JA3 | ⭐ 按 JA3 指纹聚合计数 |
| 阈值 | 请求在 10 次 / 200 秒 内触发 | 相当严格 |
| 生效范围 | 仅作用于当前规则的匹配条件 | |
| 处置动作 | 拦截 | 直接返回 444 |
| 处置时长 | 3600 秒(1 小时) | 封禁 1 小时 |
| 生效模式 | 永久生效 |
6.2 这条规则的威力
正常用户行为(Chrome 浏览器,JA3=abc123):
10 分钟内访问 15 次 → 未超阈值 → ✅ 正常放行
恶意爬虫(Python,JA3=8bee49baa...):
200 秒内访问 12 次 → 超过 10 次阈值 → ❌ 触发拦截
↓
该 JA3 指纹对应的所有 IP 在 1 小时内被封禁
↓
即使换 IP 也无效(因为 JA3 没变)
↓
必须更换工具或修改 TLS 配置才能绕过(成本极高)
6.3 为什么这条规则效果这么好?
对比传统 CC 防护:
| 维度 | 传统方式(按 IP 限频) | JA3 指纹限频(本案方式) |
|---|---|---|
| 识别粒度 | IP 级别 | TLS 指纹级别 |
| 绕过成本 | 换个代理 IP 即可(几毛钱) | 必须换工具/改 TLS 配置(成本极高) |
| 误杀风险 | 低(NAT 共享 IP 可能误伤) | 极低(指纹唯一性强) |
| 适用场景 | 一般 CC 防护 | 专业化爬虫/采集工具 |
| 技术门槛 | 低 | 中高(需了解 TLS 指纹) |
6.4 你可以这样复制这条规则
防护配置 → 自定义防护 → 新建规则
基本信息:
规则名称:自定义CC-JA3指纹防护
接入类型:SaaSWAF
防护类型:选择「精准自定义CC」 ← 关键选项
匹配条件:
条件类型:URI → 包含 → /
CC 参数:
统计信息:选择「JA3」(不是 IP!)
请求数:10
时间窗口:200(秒)
处置动作:拦截
处置时长:3600(秒)
💡 小技巧:如果你的站攻击没那么猛,可以把阈值放宽到
30次/300秒,避免误伤正常高频用户。
七、规则四:IP 黑名单(兜底防线)
7.1 黑名单规则详情
| 项目 | 数据 |
|---|---|
| 黑名单总数 | 2,431 条(当天新增) |
| 主要拦截路径 | /file/upload/ 目录下的图片文件 |
| 响应码 | 403 / 405 |
| 触发规则 | 恶意抓取IP黑名单单拦截 |
7.2 IP 黑名单的三个来源
| 来源 | 说明 | 本案占比 |
|---|---|---|
| 手动添加 | 管理员主动封禁已知坏 IP | 少量 |
| 规则自动封禁 | JA3/JA4 规则命中后自动加入(1440分钟/3600秒) | 主力 |
| 百度云端情报库 | 百度安全大数据标记的恶意 IP | 部分 |
7.3 黑名单管理建议
bash
# 建议 1:定期清理过期封禁
# 自动过期的 IP 会自动解封(1440分钟后)
# 无需手动维护
# 建议 2:对极端恶劣 IP 升级为永久封禁
# 在攻击详情页 → 点击「永久封禁」
# 建议 3:导出黑名单同步到 Nginx/防火墙
# 百度云防护 → IP地址栏 → 导出 → 导入宝塔/IPTables
八、智能 CC 攻击(全局兜底)
除了自定义规则,该站还开启了内置的智能 CC 防护作为全局兜底:
| 配置项 | 值 |
|---|---|
| 规则名称 | 智能CC攻击 |
| 防护类型 | 智能CC |
| 防护状态 | 宽松 |
| 处置动作 | 拦截 |
宽松 vs 严格 vs 超严格的区别:
| 级别 | 误杀率 | 漏过率 | 适用场景 |
|---|---|---|---|
| 宽松 | 极低 | 中等 | 一般网站(推荐起步用这个) |
| 严格 | 低 | 低 | 有一定流量的商业站 |
| **超严格 | 中 | 极低 | 正在被严重攻击时临时开启 |
该站选择”宽松”,因为自定义 JA3 规则已经承担了大部分精确拦截工作,智能 CC 只负责兜底那些没被自定义规则覆盖的零散攻击。
九、全天攻击时间线还原
从底部流量图表可以看到攻击的时间分布:
| 时段 | 攻击强度 | 说明 |
|---|---|---|
| 00:00 – 08:00 | 🟢 低 | 夜间低峰,少量扫描 |
| 08:00 – 12:00 | 🟡 中 | 上午开始有爬虫活动 |
| 12:00 – 14:30 | 🟠 中高 | 午间爬虫活跃期 |
| 14:30 – 14:46 | 🔴 峰值尖刺 | 出现明显攻击波峰(可能触发了一次大规模爬虫任务) |
| 14:46 – 18:00 | 🟡 回落 | 峰值后回落 |
| 18:00 – 24:00 | 🟠 中高 | 晚间爬虫再次活跃 |
⚠️ 14:30-14:46 的尖峰值得注意——这很可能是攻击者定时启动了批量爬虫任务。建议在这个时间段加强监控。
十、防护效果评估
10.1 核心指标
| 指标 | 数值 |
|---|---|
| 日拦截攻击数 | 305.7 万次 |
| 拦截率 | 100%(所有攻击均在 WAF 层拦截) |
| 源站 CPU 占用 | < 20%(预估) |
| 正常用户影响 | 零感知 |
| 误拦截率 | 极低(自定义规则精准匹配) |
10.2 业务状态码分布
| 状态码 | 次数 | 含义 |
|---|---|---|
| 444 | 2,963,728 | 百度增强拦截协议(CC/指纹拦截) |
| 502 | 286,606 | 源站偶发超时(需关注源站稳定性) |
| 304 | 82,738 | 缓存命中(正常) |
| 405 | 67,665 | 方法不允许(自定义规则拦截) |
| 409 | 48,076 | 冲突(部分规则触发) |
📌 502 状态码 28.6 万次需要关注——这说明源站在高峰期存在不稳定情况,建议检查源站服务器性能或考虑增加源站扩容。
十一、你可以直接复用的规则模板汇总
根据本案经验,整理出 4 套可直接使用的规则模板:
模板 A:图片防盗链(通用)
规则名:图片防盗链
类型:SaaSWAF | 优先级:1
条件:Referer 不含 [你的域名] AND URI 含 [jpg,png,webp,gif]
动作:拦截
模板 B:JA3 指纹自动封禁(进阶)
规则名:JA3指纹自动封禁
类型:SaaSWAF | 优先级:0
条件:JA3 等于 [你的异常指纹列表]
动作:拦截 + 封禁 1440 分钟
异常指纹怎么获取?在 CC 防护详情中查看被拦截请求的 JA3 值,收集高频出现的即可。
模板 C:JA3 精准 CC 限频(核心推荐)
规则名:JA3指纹CC限频
类型:精准自定义CC | 优先级:9
条件:URI 含 [/]
统计维度:JA3 | 阈值:[10]次 / [200]秒
动作:拦截 | 时长:3600秒
模板 D:IP 黑名单兜底
在 IP地址栏 手动添加 或 通过规则自动封禁联动
建议:开启「规则命中自动加入黑名单」功能
十二、给类似网站的防御建议
如果你的网站也有以下特征,强烈参考本案配置:
| 你的情况 | 建议措施 |
|---|---|
| 有大量图片资源 | ✅ 开启图片防盗链规则 |
| 被 Python/curl 爬虫频繁抓取 | ✅ 部署 JA3/JA4 指纹规则 |
| 遭遇 CC 攻击但传统 IP 限频无效 | ✅ 用 JA3 指纹替代 IP 作为限频维度 |
| 上传目录被大量请求 | ✅ 对 /upload/ /file/ 路径单独加严规则 |
| 攻击集中在某几个地区 | ✅ 开启地域封禁 |
| 502 偶发 | ⚠️ 检查源站性能,必要时升级配置 |
十三、总结
本案的核心价值在于展示了一个完整的分层防御思路:
Layer 1 自定义规则(防盗链/路径限制) → 过滤明显的非法请求
Layer 2 JA3/JA4 指纹识别 → 识别伪装成浏览器的自动化工具
Layer 3 指纹级 CC 频率限制 → 精准打击高频指纹
Layer 4 IP 自动封禁 → 发现即封锁,防止持续作恶
Layer 5 智能 CC 全局兜底 → 兜底未知攻击模式
单一手段都有 bypass 方法,但五层叠加后,攻击者的成本会指数级上升。
这就是百度云防护专业版的真正价值所在——不只是卖一个 WAF 产品,而是提供一套可灵活编排的防御策略框架。
