从一次‘羊毛党’攻击复盘:我是如何用Redis+Spring AOP给API接口穿上‘防弹衣’的
去年双十一大促期间,我们上线了一个新用户注册送优惠券的活动。凌晨刚过,监控系统突然报警——接口请求量在10分钟内暴涨了500倍。登录日志显示,大量请求来自同一个IP段,使用虚拟手机号批量注册,短短半小时就薅走了价值数十万的优惠券。这次事件让我深刻意识到:没有绝对安全的系统,只有不断升级的防御。
1. 攻击事件深度剖析:羊毛党的作案手法
通过日志分析和流量回溯,我们还原了攻击者的完整操作链条:
工具准备阶段:
- 使用接码平台获取大量虚拟手机号(每个号码成本不到0.1元)
- 自研多线程请求工具,支持自动更换IP和UserAgent
- 提前破解了我们的图形验证码(采用开源的OCR识别库)
攻击执行阶段:
# 攻击者伪代码示例 def batch_register(): while True: phone = get_virtual_phone() # 从接码平台获取号码 captcha = crack_captcha() # 自动识别验证码 coupon_code = request_coupon(phone, captcha) if coupon_code: save_to_database(phone, coupon_code)漏洞利用点:
- 未做设备指纹识别
- 验证码可被机器识别
- 优惠券发放无频率限制
- 新用户判定仅依赖手机号
事后统计:攻击者使用200个云服务器实例,通过IP轮询方式,最终成功注册了8.7万个虚假账号。
2. 防御体系设计:四层安全防护网
2.1 基础防护层:HTTPS+TLS1.3
首先升级传输层安全协议:
# Nginx配置示例 ssl_protocols TLSv1.3; ssl_ciphers 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256'; ssl_prefer_server_ciphers on;性能对比测试:
| 协议版本 | 平均握手时间 | 抗中间人攻击 | 兼容性 |
|---|---|---|---|
| TLS1.2 | 300ms | 中等 | 100% |
| TLS1.3 | 150ms | 强 | 92% |
2.2 访问控制层:动态令牌机制
设计带时效性的访问令牌:
// Token生成逻辑 public String generateToken(String deviceId) { String rawToken = UUID.randomUUID().toString(); String timestamp = String.valueOf(System.currentTimeMillis()); return redisTemplate.opsForValue().set( "token:" + rawToken, deviceId + "|" + timestamp, 5, // 5分钟过期 TimeUnit.MINUTES ); }令牌验证流程:
- 客户端携带token访问接口
- 服务端从Redis查询token记录
- 校验token存在且未过期
- 解析出设备ID和时间戳
- 更新token过期时间(滑动窗口)
2.3 行为防护层:多维度风控规则
在Redis中实现实时计数器:
// 风控计数器Lua脚本 String luaScript = "local current = redis.call('incr', KEYS[1])\n" + "if current == 1 then\n" + " redis.call('expire', KEYS[1], ARGV[1])\n" + "end\n" + "return current"; List<String> keys = Collections.singletonList("risk:" + ip + ":" + apiPath); Object result = redisTemplate.execute( new DefaultRedisScript<>(luaScript, Long.class), keys, "60" // 60秒窗口 );风控规则矩阵:
| 维度 | 阈值 | 处置措施 |
|---|---|---|
| IP+接口 | 50次/分钟 | 临时封禁30分钟 |
| 设备ID+接口 | 20次/分钟 | 要求人脸验证 |
| 账号+接口 | 10次/分钟 | 触发二次短信验证 |
2.4 数据防护层:参数指纹校验
采用BloomFilter防止重放攻击:
// 布隆过滤器初始化 @Bean public BloomFilter<String> requestBloomFilter() { return BloomFilter.create( Funnels.stringFunnel(Charset.defaultCharset()), 1000000, // 预期元素数量 0.001 // 误判率 ); } // 请求指纹生成 public String generateRequestFingerprint(HttpServletRequest request) { String params = getSortedParams(request); // 参数排序后拼接 String path = request.getRequestURI(); return DigestUtils.md5Hex(path + "|" + params); }3. Spring AOP实现方案:注解式安全切面
3.1 定义安全注解
@Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface ApiSecurity { SecurityLevel level() default SecurityLevel.NORMAL; enum SecurityLevel { NORMAL, // 基础校验 STRICT, // 增强校验 SENSITIVE // 敏感操作 } }3.2 切面核心逻辑
@Aspect @Component public class SecurityAspect { @Around("@annotation(apiSecurity)") public Object checkSecurity(ProceedingJoinPoint joinPoint, ApiSecurity apiSecurity) { // 1. 获取当前请求上下文 HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest(); // 2. 执行令牌校验 checkToken(request); // 3. 根据注解级别执行不同校验 switch(apiSecurity.level()) { case STRICT: checkDeviceFingerprint(request); checkBehaviorPattern(request); break; case SENSITIVE: performSecondaryAuth(request); break; } // 4. 执行目标方法 return joinPoint.proceed(); } }3.3 Redis交互优化
采用Pipeline批量操作提升性能:
public boolean validateTokenBatch(List<String> tokens) { return redisTemplate.executePipelined((RedisCallback<Boolean>) connection -> { for (String token : tokens) { connection.get(("token:" + token).getBytes()); } return null; }).stream().allMatch(Objects::nonNull); }性能测试数据:
| 操作方式 | 100次查询耗时 | QPS |
|---|---|---|
| 单次请求 | 1200ms | 83 |
| Pipeline | 85ms | 1176 |
| Lua脚本 | 65ms | 1538 |
4. 实战优化:从理论到落地的关键细节
4.1 灰度发布策略
采用双Redis集群方案:
- 旧集群:运行原有鉴权逻辑
- 新集群:运行新的安全规则
- 通过Nginx流量切分逐步验证
# 灰度发布配置 split_clients $remote_addr $security_version { 10% "v2"; * "v1"; } location /api { if ($security_version = "v2") { proxy_pass http://new_security_cluster; } proxy_pass http://old_cluster; }4.2 熔断降级方案
配置Hystrix fallback机制:
@HystrixCommand( fallbackMethod = "securityCheckFallback", commandProperties = { @HystrixProperty(name="execution.isolation.thread.timeoutInMilliseconds", value="500") } ) public boolean performSecurityCheck(HttpServletRequest request) { // 安全检查逻辑 } public boolean securityCheckFallback(HttpServletRequest request) { log.warn("Security check timeout, apply basic validation"); return checkBasicToken(request); // 降级为基本校验 }4.3 监控看板搭建
使用Prometheus+Granfa实现实时监控:
// 计数器指标定义 @Bean public Counter securityCheckCounter(MeterRegistry registry) { return Counter.builder("api.security.checks") .tag("type", "total") .register(registry); } // 切面中记录指标 @Around("@annotation(apiSecurity)") public Object checkSecurity(ProceedingJoinPoint joinPoint) { securityCheckCounter.increment(); // ... }关键监控指标:
- 接口请求QPS/异常率
- Redis查询延迟/P99
- 风控规则触发频率
- 令牌失效原因分布
经过三个月的持续迭代,我们的防御系统成功拦截了17次大规模自动化攻击,其中包含:
- 8次优惠券批量领取尝试
- 5次撞库攻击
- 4次虚假注册行为
最惊险的一次发生在凌晨3点,攻击者使用新型的IP池轮换技术,但在我们的设备指纹识别+行为分析组合拳下,最终2000次请求仅成功3次(均为误判)。这次事件让我明白:安全防护不是一次性工程,而是攻防双方的持续博弈。
