最近有位客户的网站从上个月开始,百度云防护的套餐流量消耗大增,导致网站流量一度不够用,于是找上主机帮帮忙看下。
主机帮通过百度云防护投递日志后,等个两个小时,查看后发现该网站被一个JA3值为:bd06f4341a65d44a68bd2cef7cbedc6 的客户端频繁访问,而且访问的IP、URI都不同:
因此,大概率可以判断这是一个同一台服务器使用盗刷软件对网站进行刷流量的行为。
那要怎么拦截呢?
其实很简单,因为对方不管换了多少IP或者访问地址,其访问网站的JA3值都是一样的,因此我们利用百度云防护的JA3拦截功能进行拦截就行了。
进入web防护-自定义规则-添加以下规则:
匹配条件:JA3 等于多值之一 输入之前在日志看到的黑客JA3值:bd06f4341a65d44a68bd2cef7cbedc6
处置动作:拦截并追加封禁
保存后,我们进入攻击日志-自定义规则查看拦截详情:
该JA3下总共有两个IP段的IP访问,分别为180.97.250.*和58.218.211.*
使用IP138.com查询这些IP后,发现都是来自于江苏某数据中心的IP。
更加实锤了这些是盗刷软件的IP。
