但在智慧零售時代，零售商除了要與消費者展開心理戰，還有一場仗。對手不知是何模樣、從何而來，甚至不知為何而來，卻不能不打，因為一旦戰敗可能會面臨數千萬甚至毀滅性的損失這就是零售商與黑產之間的戰爭。

剛向電子商務領域進軍的家樂福，最近便經歷了一場刀光劍影的“暗戰”。

購物節前夕。

家樂福信息安全負責人老袁提高了警惕，經歷過五次與DDoS、羊毛黨和黃牛黨的短兵相接的他，深知購物節前后是電商安全人員最緊繃的時候，大群“牛羊”們摩拳擦掌，等著收割各種優惠品、代金券，一場線上攻防戰說來就來。

不出意料，購物節當天的早晨，他接到有關同事的消息，說遭遇了短信炸彈攻擊，短信網關接近8點時并發量突然超過平時的十倍，一個小時后便恢復正常。這正好是家樂福從原來的WAF（Web應用防火墻）升級到了騰訊云WAF的第二天。

短信炸彈是羊毛黨、黃牛黨們最鐘愛的武器之一，頗讓他頭疼。短信炸彈，簡單來說就是利用網絡中的第三方接口無限發送轟炸短信。

而對于電商而言，調用短信接口是要收取“買路財”的，多則一毛、兩毛，少則幾分，如果這個數量，在單個IP上變成了平常的十倍、百倍，再出現無數個這樣的異常IP，企業就要為這些短信接口的濫用付出巨額“通道費”。

更可怕的是，如果用戶在一天之內收到幾十上百條來自“家樂福”的短信，分分鐘會當場卸載這個APP。

戰斗，一忌輕視對手，二忌經驗不足，三忌戰術單薄。

雖然只是短短一小時的異常，但憑借多年跟黑產交鋒的職業嗅覺和歷史教訓他的前東家曾在春節檔被短信炸彈攻擊到每天損失十幾萬老袁還是察覺到了一絲詭異，這很可能是黑產對于對手戰力“投石問路”式的試探，如果一時麻痹大意，很可能會引來更大規模的挑釁和進攻。

經過和騰訊云安全WAF團隊確認和交流，老袁發現這是騰訊云WAF非常典型的業務場景，簡單來說，就是黑產撞到了槍口上。騰訊云安全團隊向老袁分享了類似攻擊事件的防護經驗，并且再次講解了騰訊云WAF在BOT行為中的防護原理。

武器在手，軍師在后，老袁決定上陣迎戰。他登陸進騰訊云WAF去查看行為分析數據后，發現在當天凌晨和早上接近9點時，短信API接口的訪問頻次異常高，再展開細化日志分析，有多個IP以每分鐘高達470-500次的速度進行訪問這顯然不是正常人類的速度，看不到盡頭的網線背后，可能是一個用心險惡的黑產軍團。

一般搞電商的企業都熟悉且困擾于兩類攻擊。

一種是典型CC攻擊，這是一種針對網頁的攻擊，原理是模擬多個用戶正常訪問目標網站，例如制造大量后臺數據庫的查詢動作占用正常請求資源。它雞賊之處在于，這種“訪問”本身屬于正常請求，但當這種“正常請求”達到一定程度的時候，服務器就會反應不過來直到宕機，也就是APP會出現反應慢、賬號登錄不成功、無法下單、白屏等現象。這也是為什么每次購物節當大家忙著剁手的時候，各大電商的機房燈火通明，程序員軟件硬件都用上外加緊張觀察，就是怕服務器崩掉了帶來慘重損失。

這次的“短信炸彈”可以理解成一次CC攻擊，老袁第一時間對遭攻擊的短信接口做了騰訊云WAF的“前剎車”防護，也就是設置了CC防護的規則，把對短信接口訪問上限定為每分鐘150次，超過這個閾值的IP，騰訊云WAF會根據算法第一時間判斷究竟是真人還是機器訪問，被判斷為機器的IP將會被封禁訪問，這也是騰訊云WAF自帶可選的懲罰機制。

但一場漂亮的戰役，不應該只是城樓退敵，更應斷其后路。

CC攻擊往往只是敵人的先行兵，更可怕的是后續可能會出現的慢BOT攻擊。這種戰術更有耐心且隱蔽，敵人會仔細偵查對外開放的每一個接口，對開銷較大的接口，以較慢的速度長時間“掛”在你家的網上，消耗大量資源。

舉個例子，假設一個正常的客人訪問家樂福網上商城，完整地經歷了注冊、登錄、不小心忘記密碼、支付等驗證環節，他可能一天內接收不超過20次來自家樂福的短信，但他不會天天重復這些環節可是黑產會，他會肆無忌憚地使用注冊軟件和隨時號碼反復調用接口，同時黑產會發動羊毛黨把調用次數進行幾何級放大，像一群虎視眈眈又極有耐心的禿鷲，終有一天你會扛不住，那就是我啄食的時機。這樣對網站的損傷也非常大。

考慮到這種情況，老袁的團隊開始啟用之前和騰訊云WAF團隊交流時重點關注的BOT管理功能，使用BOT行為管理進行安全策略定制，將每個用戶每天訪問短信端口次數超20次以上的會話統統攔截，相當于開啟了“后剎車”。

懂行的人都知道，WAF的攔截屬于“硬核殺傷”，當觸發了它的閾值，用戶IP就會被鐵面無私地直接封掉；同時它又是一件可以動態調試的武器。騰訊云WAF采用自研基于概率圖的威脅AI技術，一方面可以更精準地攔截攻擊；同時通過行為分析和對具體業務場景設置動態防護策略，在不斷對抗過程中，會摸清黑產的攻擊策略，將其置之死地。整個過程，幫助客戶梳理清楚業務邏輯，為業務調整優化提供依據，這就是騰訊云WAF使用策略中的第三道防線。

老袁在這個過程中也稍稍栽了下跟頭攔截CC和BOT攻擊的時候，只考慮到攔截同一個IP的異常訪問，卻忽略掉在顧客在大賣場、在咖啡廳里使用公共WIFI訪問網上商城的“共享式IP”場景。意識到這個問題后，他們迅速調整代碼邏輯，對每個用戶使用短信接口場景進行優化，這個小小的插曲很快被解決。

設下以上的“三道防線”后，家樂福網上商城當天幾乎是立刻止血，不再出現短信接口的異常訪問！

第一場交鋒家樂福的輕松取勝，讓本想挑釁的黑產團伙惱羞成怒，兩天以后的早晨八點看來這是這個黑產團伙頗為偏愛的時間點家樂福的線下門店正在搞活動，老袁的手機再次被打爆，說是公司的APP嚴重卡死、白屏。黑產團伙開始對家樂福的特定幾個URL，發起持續猛烈的攻擊，訪問量超過700萬次，導致服務器壓力增大，出口業務的帶寬被打滿，正常用戶沒辦法訪問APP和網頁，用行話說，家樂福的網站被“核”了。

黑產主要從以下四條“小道”進行突擊猛攻：首先是狂刷用戶行為采集的接口，頻率高達300-400次每秒，這個接口主要是記錄用戶訪問家樂福APP的行為，再寫入數據庫；二是瞄準APP版本檢查接口，也就是模仿一個過分焦慮的強迫癥者，一遍遍刷新查詢版本有沒有更新，每天超過幾百萬次，導致APP帶寬被惡意消耗掉；三和四分別是查看商品庫存和查看購物車，派機器人一遍遍去看商品還剩多少、購物車里有啥，讓數據庫讀寫高到爆滿。

可以說，為了在這個購物節里打垮家樂福，黑產團隊也是傾巢而出，用上了最前沿的技術，大有不死不休的架勢。

老袁再次用“三道防線”的策略迎戰，而且這次，他跟他手上的武器已經培養出了默契。騰訊云WAF本身具備WAF的通用特性硬核殺傷，而且更敏捷、更精準，忠實于“戰士們”設定的CC防護規則和BOT策略，你讓我攔誰我就不留情面地把符合條件的人統統攔截，反手還要送他們的IP一個查封。

但只要戰術得當，這把硬核武器可以完成溫柔的“殺戮”，把黑產攔在門外，同時保證正常用戶訪問，這也是家樂福最后贏下這場硬仗的制勝關鍵：設計CC防護和BOT防護規則的過程中，還要理順代碼邏輯，并且結合實際的業務場景進行針對性的規則調整，剩下的交給WAF，兵不血刃便已退敵千里。

值得一提的是，騰訊云WAF對于觸犯規則被封禁的IP，也不是痛打落水狗式的一棍打死、徹底封禁，而是三天后自動解封這么做的策略主要在于防止這些IP落到真實用戶的手里，導致真正的金主爸爸無辜被擋在門外；而如果IP一直攥在黑客手里，那好辦，一直封禁一直爽,這樣的IP會被放入到騰訊云安全的威脅情報數據庫，讓黑客無法利用該IP為非作歹。

隨著數字化轉型的加快，越來越多的安全問題一一暴露，零售商和黑產之間的戰爭只會越發激烈。在這場斗爭中，零售決策者們必須把對安全問題的關注提升到新的高度，因為這極有可能決定一個企業發展的天花板在哪里。剛剛轉向電商的傳統零售商們，在零售紅海中迎著數字化轉型大潮，面對著來勢洶洶、彈藥充足的黑產軍團，或許要試著將自己的后背交給專業的安全廠商，才能將數量龐大的“牛馬羊”黑產群體斬在馬下。