在我们持续的云服务运营过程中,我们多次发现一系列源自非官方客户端的异常请求模式。这些请求构成了重大的安全风险,并对我们云服务的可靠性和成本效益产生了负面影响。本文将介绍云服务目前所面临的风险以及采取的应对措施。
在过去的一年里,我们注意到通过非官方渠道向我们的云服务发出请求的数量在增加。其中出现了许多显著异常的流量模式,甚至还有针对性的DDoS攻击,严重影响了云服务的可用性。我们的监控系统每天检测到高达3000万次未经授权的请求,给我们的基础设施造成了不必要的负担。
- 系统负载增加:中间件组件承受更高的负载,导致异常重启和在线运营中断。
- 服务性能下降:后端服务延迟显著增加,对正常用户的体验产生不利影响。
- 登录系统故障:高频的登录尝试已引发云登录组件多次故障,累计中断正常用户登录约1小时,并影响了用户访问服务的能力。
以下是记录的异常访问事件,突出了问题的严重性和反复性:
- 2025 年 1 月 8 日:15 分钟内有 1000 万次异常请求。
- 2024 年 12 月 28 日:10 分钟内有 11 万次异常请求。
- 2024 年 11 月 16 日:100 万次异常请求。
- 2024 年 10 月 23 日:28.6 万次异常请求。
- 2024 年 10 月 22 日:180 万次异常请求。
- 2024 年 10 月 21 日:1300 万次异常请求。
- 2024 年 8 月 3 日:9 万次异常请求。
- 2024 年 6 月 1 日:76 万次异常请求。
- 2023 年 9 月 22 日:MakerWorld 经历了持续约 1 小时的分布式拒绝服务(DDoS)攻击,峰值每秒查询率为 1.2 万次。这导致了全服务范围的异常和中断。
持续且不断升级的异常请求量凸显了加强安全措施、更有效监控未经授权的访问以及减轻其影响的紧迫性。我们致力于实施强化保护措施,以维护系统稳定性、改善用户体验并降低不必要的成本。
为了应对潜在的安全风险,我们采取了多种防范措施。
- 2024 年 12 月:
- 增强了身份认证和授权机制,以防止通过 Handy 对打印机进行未经授权的控制。
- 解决了攻击者可利用合法身份或认证漏洞来控制已被其他用户绑定的在线设备的漏洞。
- 降低了使用无效但看似合法的身份进行远程控制攻击的风险。
- 2024 年 11 月:
- 对命令内容实施了严格验证,以阻止通过客户端 / 云控制命令注入非法操作。
- 通过引入严格的检查和限制机制,防止了通过 Studio、Handy 或云接口发送的恶意构造命令在设备层面被执行。
- 2024 年 1 月:
- 解决了官方固件中的一个关键芯片漏洞,并增强了防回滚功能。
- 修复了主芯片中的安全启动漏洞,并在加载阶段改进了启动介质检查,以增强整体系统安全性。
- 2023 年 12 月:
- 通过实施严格的检查协议,防止了 3MF 文件中的 ZIP 解压路径遍历。
- 这一措施保护了设备和云端在解析 3MF 文件时免受恶意脚本植入的影响。从而阻止了攻击者构造恶意3MF文件来执行有害脚本。
- 2022 年 11 月:
- 将网络通信协议迁移到基于 SSL/TLS 的标准,确保了数据的完整性和安全性。
- MQTT(消息队列遥测传输)→MQTTS(安全消息队列遥测传输)
- FTP(文件传输协议)→FTPS(安全文件传输协议)
- HTTP(超文本传输协议)→HTTPS(超文本传输安全协议)
- 增强了私有图像传输协议。
这些更新有效地防止了攻击者通过网络数据包拦截来获取敏感用户数据。