Statische Steuerelemente für die Verwaltung von Bots - AWS Präskriptive Leitlinien
Listung zulassenIP-basierte SteuerungenIntrinsische Prüfungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Statische Steuerelemente für die Verwaltung von Bots

Um eine Maßnahme zu ergreifen, werten statische Kontrollen statische Informationen aus der HTTP (S) -Anfrage aus, z. B. ihre IP-Adresse oder ihre Header. Diese Kontrollen können nützlich sein bei bösartigen Bot-Aktivitäten mit geringer Komplexität oder bei erwartetem nutzbringendem Bot-Traffic, der verifiziert und verwaltet werden muss. Zu den statischen Kontrollmethoden gehören: Auflisten von Zulassungen, IP-basierte Kontrollen und interne Prüfungen.

Listung zulassen

Bei der Option „Eintrag zulassen“ handelt es sich um ein Steuerelement, das identifizierten, freundlichen Traffic mithilfe vorhandener Kontrollen zur Abwehr von Bots ermöglicht. Es gibt eine Vielzahl von Möglichkeiten, dies zu erreichen. Am einfachsten ist es, eine Regel zu verwenden, die einer Reihe von IP-Adressen oder einer ähnlichen Übereinstimmungsbedingung entspricht. Wenn eine Anforderung mit einer Regel übereinstimmt, die auf eine Allow Aktion festgelegt ist, wird sie nicht durch nachfolgende Regeln ausgewertet. In einigen Fällen müssen Sie verhindern, dass nur auf bestimmte Regeln reagiert wird. Mit anderen Worten, Sie müssen die Liste für eine Regel zulassen, aber nicht für alle Regeln. Dies ist ein übliches Szenario für den Umgang mit falsch positiven Ergebnissen bei Regeln. Die Option „Liste zulassen“ wird als Regel mit umfassendem Geltungsbereich betrachtet. Um das Risiko falsch negativer Ergebnisse zu verringern, empfehlen wir, diese Option mit einer anderen detaillierteren Option zu kombinieren, z. B. einem Pfad- oder Header-Abgleich.

IP-basierte Steuerungen

Einzelne IP-Adressblöcke

Ein häufig verwendetes Tool zur Minderung der Auswirkungen von Bots besteht darin, Anfragen von einem einzelnen Anforderer zu begrenzen. Das einfachste Beispiel besteht darin, die Quell-IP-Adresse des Datenverkehrs zu blockieren, wenn die Anfragen böswillig sind oder ein hohes Volumen aufweisen. Dabei werden AWS WAF IP-Set-Übereinstimmungsregeln verwendet, um IP-basierte Blöcke zu implementieren. Diese Regeln stimmen bei IP-Adressen überein und wenden die Aktion BlockChallenge, oder CAPTCHA an. Sie können anhand des Content Delivery Network (CDN), einer Firewall für Webanwendungen oder Anwendungs- und Dienstprotokolle feststellen, wann zu viele Anfragen von einer IP-Adresse eingehen. In den meisten Fällen ist diese Steuerung jedoch ohne Automatisierung nicht praktikabel.

Die Automatisierung von Blocklisten für IP-Adressen AWS WAF erfolgt üblicherweise mit ratenbasierten Regeln. Weitere Informationen finden Sie unter Ratenbasierte Regeln in diesem Handbuch. Sie können auch die Sicherheitsautomatisierung als Lösung implementieren. AWS WAF Diese Lösung aktualisiert automatisch eine Liste von IP-Adressen, die blockiert werden sollen, und eine AWS WAF Regel lehnt Anfragen ab, die diesen IP-Adressen entsprechen.

Eine Möglichkeit, einen Bot-Angriff zu erkennen, besteht darin, dass sich eine Vielzahl von Anfragen von derselben IP-Adresse auf eine kleine Anzahl von Webseiten konzentriert. Dies deutet darauf hin, dass der Bot Preise verschrottet oder wiederholt versucht, sich anzumelden, die zu einem hohen Prozentsatz fehlschlagen. Sie können Automatisierungen erstellen, die dieses Muster sofort erkennen. Die Automatisierungen blockieren die IP-Adresse, wodurch die Wirksamkeit des Angriffs verringert wird, da er schnell identifiziert und abgewehrt wird. Das Blockieren bestimmter IP-Adressen ist weniger effektiv, wenn ein Angreifer über eine große Sammlung von IP-Adressen verfügt, von denen aus er Angriffe starten kann, oder wenn das Angriffsverhalten schwer zu erkennen und vom normalen Datenverkehr zu trennen ist. 

Reputation von IP-Adressen

Ein IP-Reputationsdienst liefert Informationen, anhand derer die Vertrauenswürdigkeit einer IP-Adresse bewertet werden kann. Diese Informationen werden üblicherweise durch die Zusammenfassung von IP-bezogenen Informationen aus vergangenen Aktivitäten anhand dieser IP-Adresse gewonnen. Frühere Aktivitäten geben Aufschluss darüber, wie wahrscheinlich es ist, dass eine IP-Adresse bösartige Anfragen generiert. Die Daten werden zu verwalteten Listen hinzugefügt, die das Verhalten von IP-Adressen verfolgen.

Anonyme IP-Adressen sind ein Spezialfall der Reputation von IP-Adressen. Die Quell-IP-Adresse stammt aus bekannten Quellen leicht zu beschaffender IP-Adressen, z. B. cloudbasierten virtuellen Maschinen, oder von Proxys wie bekannten VPN-Anbietern oder Tor-Knoten. Die verwalteten Regelgruppen AWS WAF Amazon IP Reputation List und Anonymous IP List verwenden interne Bedrohungsinformationen von Amazon, um diese IP-Adressen zu identifizieren.

Die von diesen verwalteten Listen bereitgestellten Informationen können Ihnen helfen, auf Aktivitäten zu reagieren, die aus diesen Quellen identifiziert wurden. Auf der Grundlage dieser Informationen können Sie Regeln erstellen, die den Datenverkehr direkt blockieren, oder Regeln, die die Anzahl der Anfragen begrenzen (z. B. ratenbasierte Regeln). Sie können diese Informationen auch verwenden, um die Quelle des Datenverkehrs zu bewerten, indem Sie die Regeln im COUNT Modus verwenden. Dabei werden die Übereinstimmungskriterien untersucht und Beschriftungen zugewiesen, anhand derer Sie benutzerdefinierte Regeln erstellen können.

Ratenbasierte Regeln

Ratenbasierte Regeln können für bestimmte Szenarien ein wertvolles Tool sein. Ratenbasierte Regeln sind beispielsweise wirksam, wenn der Bot-Verkehr im Vergleich zu Benutzern in sensiblen Uniform Resource Identifiers (URIs) ein hohes Volumen erreicht oder wenn das Datenverkehrsvolumen beginnt, den normalen Betrieb zu beeinträchtigen. Durch die Ratenbegrenzung können Anfragen auf einem überschaubaren Niveau gehalten und der Zugriff eingeschränkt und kontrolliert werden. AWS WAF kann mithilfe einer ratenbasierten Regelanweisung eine Regel zur Ratenbegrenzung in einer Web-Zugriffskontrollliste (Web ACL) implementieren. Ein empfohlener Ansatz bei der Verwendung ratenbasierter Regeln besteht darin, eine pauschale Regel, die die gesamte Site abdeckt, URI-spezifische Regeln und Regeln, die auf IP-Reputationsraten basieren, aufzunehmen. Regeln, die auf der IP-Reputationsrate basieren, kombinieren die Intelligenz der IP-Reputation mit Funktionen zur Ratenbegrenzung.

Eine pauschale Regel, die auf der IP-Reputationsrate basiert, legt für die gesamte Site eine Obergrenze fest, die verhindert, dass unkomplizierte Bots eine Site von einer kleinen Anzahl von IP-Adressen aus überfluten. Die Ratenbegrenzung wird insbesondere für den Schutz von URIs empfohlen, die hohe Kosten oder Auswirkungen haben, z. B. Anmeldeseiten oder Seiten zur Kontoerstellung.

Regeln zur Ratenbegrenzung können eine kosteneffiziente erste Schutzebene bieten. Sie können erweiterte Regeln verwenden, um vertrauliche URIs zu schützen. URI-spezifische ratenbasierte Regeln können die Auswirkungen auf kritische Seiten oder APIs, die sich auf das Backend auswirken, wie z. B. den Datenbankzugriff, begrenzen. Fortgeschrittene Abhilfemaßnahmen zum Schutz bestimmter URIs, auf die weiter unten in diesem Leitfaden eingegangen wird, sind häufig mit zusätzlichen Kosten verbunden, und diese URI-spezifischen, ratenbasierten Regeln können Ihnen helfen, die Kosten zu kontrollieren. Weitere Informationen zu häufig empfohlenen ratenbasierten Regeln finden Sie im Sicherheitsblog unter Die drei wichtigsten ratenbasierten Regeln. AWS WAF AWS In manchen Situationen ist es sinnvoll, die Art der Anfrage, die anhand einer ratenbasierten Regel bewertet wird, einzuschränken. Sie können Scopedown-Anweisungen verwenden, um beispielsweise ratenbasierte Regeln auf das geografische Gebiet der Quell-IP-Adresse zu beschränken.

AWS WAF bietet mithilfe von Aggregationsschlüsseln erweiterte Funktionen für ratenbasierte Regeln. Mit dieser Funktion können Sie eine ratenbasierte Regel so konfigurieren, dass sie neben der Quell-IP-Adresse auch verschiedene andere Aggregationsschlüssel und Tastenkombinationen verwendet. Als einzelne Kombination können Sie beispielsweise Anfragen auf der Grundlage einer weitergeleiteten IP-Adresse, der HTTP-Methode und eines Abfragearguments aggregieren. Auf diese Weise können Sie detailliertere Regeln für eine ausgeklügelte Reduzierung des volumetrischen Datenverkehrs konfigurieren.

Intrinsische Prüfungen

Bei intrinsischen Prüfungen handelt es sich um verschiedene Arten interner oder inhärenter Validierungen oder Überprüfungen innerhalb eines Systems oder Prozesses. AWS WAF Führt bei der Bot-Kontrolle eine systeminterne Prüfung durch, indem überprüft wird, ob die in der Anfrage gesendeten Informationen mit den Systemsignalen übereinstimmen. Es führt beispielsweise umgekehrte DNS-Suchen und andere Systemüberprüfungen durch. Einige automatisierte Anfragen sind erforderlich, z. B. SEO-bezogene Anfragen. Die Option „Eintrag zulassen“ ist eine Möglichkeit, gute, erwartungsgemäße Bots durchzulassen. Aber manchmal emulieren böswillige Bots gute Bots, und es kann schwierig sein, sie voneinander zu trennen. AWS WAF bietet Methoden, um dies mithilfe der verwalteten AWS WAF Bot-Control-Regelgruppe zu erreichen. Die Regeln in dieser Gruppe verifizieren, dass selbst identifizierte Bots auch die sind, für die sie sich ausgeben. AWS WAF überprüft die Details der Anfrage anhand des bekannten Musters dieses Bots und führt außerdem umgekehrte DNS-Suchen und andere objektive Überprüfungen durch.