12_网站盗链攻击防护实训

1、应用环境实训设备PC机1/24WAFWAF192.168.1,2/24aPC机2/24神州救码DigitalDigital OilntOilnt实训一 网站盗链攻击防护实训实训目的1、 了解基本的网站盗链攻击方法；2、 掌握WAF防护网站盗链攻击的配置方法。本次实训我们将模拟网站盗链攻击行为，对网站进行网站盗链攻击， 并使用WARS行攻击防护。1、WAF设备1台2、PC机2台3、 双绞线（直通）2根四、实训拓扑透明部署模式五、实训要求1、按照拓扑连接网络2、按照拓扑中的IP地址配置设备IP六、实训步骤第一步：在PC机2上部署要进行盗链攻击的网站，并在

2、本地访问正常，在PC机2上打开浏览器输入 http:/127.0O1/月户：飙：S3S3吕魏5暹谐2HJ11-G3-222HJ11-G3-22口歐S3S3曲墟利比笙部E E费严240MM-12240MM-12宙卷磁担站盘*九需篦:M M础如标207411207411曰錘灣洋脅困2007-04-12007-04-11 1口实壬屈虫洲电露犬奖:話便托明融平衢20ID-D4-120ID-D4-11 1口毋蓉洲瞬先进爭谨左H H冲弓1 1起强刊eieiM07-D1-11M07-D1-11Q Q WiWftWiWft讨敲手白盂皿许2006-12006-10-&10-&1QLfiElb AftAfiERr

3、 BS/KTUfTt ClARifiDA人艮放府 EdA民敢丹F县AREb GiAftBiR|0国：劭】|OLS%OLS%内博2011-A3-222011-A3-222012011-fl1-fl 3-223-222011-3-322011-3-32201M3-22201M3-22201201S-C3-2JS-C3-2J2012011-(1-( 3-3-22222011-03-222011-03-22nmathwnmathw 了M11-D3-22M11-D3-22A帀政务申右肺日推Q?Q?见舸】1anQ-vaJi3C-al(1anQ-vaJi3C-al(口虫徹因非啟利人电猬廿爭彳疏内客羊刿谱EI

4、EI罢型0808非洙和丸电瞋廿SCiSCi髓内客羊利口北京商苑閒尸区即将胸壬走導童弱无请幸亀 。眾i i平常號的删滋2(3112(311-DM2-DM2 加 11-03-2211-03-22 2011-03-222011-03-22DCNmdmin悠好“味当前站色惑.炕曽虔贞.Q扛也全选JH縣朗逸第二步：在PC机1上打开浏览器输入 https:/192.168.12 登录WAF设备，将保护网站添 加到WAF占点管理中，左侧功能树进入站点-站点管理，点击新建按钮J Bi 湫,，一is样弑感眼务石晞服罟赠主机樽址主机詬口 was 站点贬 朋莓亘迴 fftt设酉甘冋妬I”蛋和鼓U嵋经疥姿员合 占省中

5、屮企业局 姉政际处朮网口飞Si監件无湖蹴E3E3庙创卿孤舅匡专裕削检D D昴三方烹怦逹出就珈卜入飯空感域6 6 xHJf20lxHJf20l 再FuliltiFulilti 日歪收李舌空站S S滸述口电孑鞭5功世201201122122HTTPV主机地址：“主机端口: 旌賂那左： MACIMACI 策昭娱：站点威名：eotigerv删曉选中站点wwwrbaiduomww, Sim男个或容使用半走逋号分RSRS，荒如：wwwwww expexp 1 1 .canij.canijwww.expwww.exp 1 1 站点.或名列表:注意：此步骤中策略集选择“无”第三步：在PC机1上访问PC机2上的

6、网站，并进行盗链攻击输入盗链攻击地址/i nfo/upimg/9.jpg盗链图片文件serverl字母开头字母-数干和下总删成-长屋舛1列14类型:输入web服务器IP地址和端口，点击确定，将网站加入WAF呆护中站点管湮选择状态.眼务名称服务类型 主机地址主机端口策昭集站点威名服务直逋 枷作server 1http1S2.16C.1.30轴耳前全选删除所选揄人爹蚀咯，以逗号分偏/却11记录访同日志：是 Q宵| 1北1总良1.3点分M逬棚整数，形如:192.16&.23.4(1-65535)忌用服务与MA亡地址霸运无p通过能够正常访问说明图片盗链攻击成功第四步:

7、在WAF上启用网站盗链防护功能登录WAF进入防护- 盗链防护- 新建，策略名称jpgftft-士护IEBIEB取击旳护K4MK4M护MtPMtPCCWFCCWF 佃鈕骷护|eeK3OHiSK3OHiS 着理页両防沪 wr4Kwr4Kmas神州救码DigitalDigital CtilnaCtilna首m m.罟号 郴石沖團片抽用尸任虔沪网站因片总5MS5MS祥U!U!迈E ES S神州救码DlgiyiDlgiyi CHInaCHIna潼齧骷护集略配愦: jpg如:nhiT 新建- 策略集名称为jpg-zt-确定DCN* MWIB母护cow駅i质拱Wi+SCftWi+SCftwEcartwitw

8、EcartwitRttlfcWLiRttlfcWLirsrs匸英吨匸英吨爲爲WEEiWifflJ:WEEiWifflJ:主主EtEt击市计击市计扫断出吕止CCRrfiCCRrfi币计币计矗虫陆护 nKmrnKmrcdurcdurnrnr 西求廉*i i：断ntnt 苔頁曲口視靑 飙頁矽护于挥訪护齧确I厲比詡IPIP站去囂litlit日盂年筆点击修改jpg-zt整体策略集- 在盗链防护策略中选择jpg策略- 确定rr站护集昭 由卷訪曲面胆电助护栄呀扫拦防护輦町集略集垢皆：jpg讯防护複块是否加入竟曙集其厨宝框攻击帕时再止知蹶护功绘用于晌、井陶砌闻8$.8$.0厲更踽时护領碍阳沪网站视频割5 5源

9、不技葩O盗御S S护SWSMEfSWSMEf护黑瑶俣护网站音划婪喷谊不技彌OK1K1片逼傩防护承碼保护岡站田片婪賁渥不披徑褫0 jp(Jjp(J0确认 當同进入站点-站点管理- 修改保护的web网站- 策略集选择jpg-zt-点击确定恆光许输入1 口个立件芙型.tttt B5lPB5lP 护译史星詞莎 冬.三iminFLffliminFLfflii第五步：再次对网站进行盗链攻击，在PC机1上输入/info/upimg/9.jpg，发现不能访问9.jpg这个图片了，说明攻击被阻断j j _a_ . 玄 ht切：丿唸一 160一 I. 3/info/upie/9-

10、jPH吞 肚十（LR 會豎”请不要进行盗链攻击通过以上步骤，说明 WAF已经成功阻断了本次攻击七、注意事项和排错1、 需要将保护网站添加到 WAF呆护中，才能够保护生效。2、 攻击不能被阻止时，先清空浏览器缓存，再检查防护规则是否被成功应用。神州救码去歹去歹h h DigitalDigital dilnadilna诵定取消ljWWWnexplxQ八、配置序列无九、共同思考网站盗链攻击对网站的危害？十、课后练习1、 尝试对网站进行其他文件类型的盗链攻击并进行防护？2、 使用另一种防护盗链攻击的方法Referer，对网站盗链攻击进行防护？十一、 知识背景盗链是指服务提供商自己不提供服务的内容， 通

11、过技术手段绕过其它有利益的最终用户界面(如广告)，直接在自己的网站上向最终用户提供其它服务提供商 的服务内容，骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资 源，而真正的服务提供商却得不到任何的收益。盗链分类网站盗链会大量消耗被盗链网站的带宽，而真正的点击率也许会很小，严重损害了被盗链网站的利益。早期的盗链一般是一些比较小的网站盗取一些有实力的大网站的地址，盗链的目标比较有针对性， 现如今，一些大型的网站也已经开始把盗链的目光锁定在了整个互联 网上，窃取整个互联网上的其它机器的带宽。常见的盗链有以下几种：图片盗链、音频盗链、视频盗链、文件盗链。一般要被浏览的页面并不是一次全部传送到

12、客户端的。如果客户请求的是一个带有许多图片和其它信息的页面，那么最先的一个HTTP请求被传送回来的是这个页面的HTML文本，客户端浏览器对 这段文本解释执行后，发现其中还有其它文件，客户端浏览器会再发 送一条或者更多 HTTP请求，当这些请求被处理后其它文件才被传送到客户端，然后浏览 器将这些文件放到页面的正确位置。一个完整的页面要经过发送多条HTTP请求才能够被完整地显示。基于这样的机制，盗链就成为可能，服务提供商完全可以在自己的页面中嵌入 别人的链接，显示在自己的页面上，以达到盗链的目的。根据盗链的形式的不同，可以简单地把盗链分成两类：常规盗链和分布式盗链。常规盗链比较初级，同时也比较常见

13、，具有一定的针对性，只盗用某个或某些网站的链接。技术含量不高，实现也比较简单，只需要在自己的页面嵌入别人的链接即可。分布式盗链是盗 链的一种新的形式，系统设计复杂，难度相对较大。这种盗链一般不针对某一个网站，互联网上任何一台机器都可能成为盗链的对象。服务提供商一般会在后台设置专门程序(Spider)在In ternet上抓取有用的链接，然后存储到自己的数据库中。而对于最终用户的每次访问， 都将其转化为对已有数据库的查询，被查询到的URL就是被盗链的对象。由于对文件的访问已经被浏览器屏蔽掉了，所以最终用户感觉不到所访问的链接是被盗取的链接。神州救码DlgilaiDlgilai OhlniOhln

14、i反盗链不定期更名文件或者目录不定期的更改文件或者目录的名称，是最原始的反盗链的方式，可以比较有效地防止盗连，这种方法一般工作量比较大。但是批量的文件改名是完全可以自动化的，而且也比较容易实现。在文件的更名过程中，可能会有客户正在下载该文件，这样会导致正常的客户访问失败，尽管这个问题容易解决，但是也不能够忽视。限制引用页这种防盗链原理是，服务器获取用户提交信息的网站地址，然后和真正的服务端的地址相比较，如果一致则表明是站内提交，或者为自己信任的站点提交，否则视为盗链。实现时可以使用 HTTP_REFERER1和htaccess文件(需要启用 mod_Rewrite)，结合正则表达 式去匹配用户

15、的每一个访问请求。对于每一个HTTP请求，服务器都要查找.htaccess文件，增加了读取文件的次数，一定程度上降低了性能。另外，服务器打开这个功能，有比较多的限制。文件伪装文件伪装是目前用得最多的一种反盗链技术，一般会结合服务器端动态脚本 (PHP/JSP/ASP)。实际上用户请求的文件地址，只是一个经过伪装的脚本文件，这个脚本文 件会对用户的请求作认证，一般会检查 Session. Cookie或HTTP_REFERER 作为判断是否 为盗链的依据。而真实的文件实际隐藏在用户不能够访问的地方，只有用户通过验证以后才会返回给用户。加密认证这种反盗链方式，先从客户端获取用户信息，然后根据这个信息和用户请求的文件名 字一起加密成字符串(Sessi on ID)作为身份验证。只有当认证成功以后，服务端才会把用户需 要的文件传送给客户。 一般我们会把加密的Session ID作为URL参数的一部分传递给服务器，由于这个Session ID和用户的信息挂钩， 所以别人就