Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli di identificazione dei client per la gestione dei bot
Se il traffico correlato agli attacchi non può essere facilmente riconosciuto tramite attributi statici, il rilevamento deve essere in grado di identificare con precisione il client che effettua la richiesta. Ad esempio, le regole basate sulla frequenza sono spesso più efficaci e più difficili da eludere quando l'attributo a cui è limitato la frequenza è specifico dell'applicazione, come un cookie o un token. L'utilizzo di un cookie legato a una sessione impedisce agli operatori di botnet di duplicare flussi di richieste simili su molti bot.
L'acquisizione di token viene comunemente utilizzata per l'identificazione dei clienti. Per l'acquisizione di token, un JavaScript codice raccoglie informazioni per generare un token che viene valutato sul lato server. La valutazione può variare dalla verifica che JavaScript sia in esecuzione sul client alla raccolta di informazioni sul dispositivo per il rilevamento delle impronte digitali. L'acquisizione di token richiede l'integrazione di un JavaScript SDK nel sito o nell'applicazione oppure richiede che un fornitore di servizi esegua l'iniezione in modo dinamico.
La richiesta di JavaScript supporto aggiunge un ulteriore ostacolo per i bot che tentano di emulare i browser. Quando è coinvolto un SDK, ad esempio in un'applicazione mobile, l'acquisizione di token verifica l'implementazione dell'SDK e impedisce ai bot di imitare le richieste dell'applicazione.
L'acquisizione di token richiede l'uso di SDK implementati sul lato client della connessione. Le seguenti AWS WAF funzionalità forniscono un SDK JavaScript basato su browser e un SDK basato su applicazioni per dispositivi mobili: Bot Control, Fraud Control Account Takeover Prevention (ATP) e Fraud Control per la creazione di account (ACFP).
Le tecniche per l'identificazione dei clienti includono CAPTCHA, profilazione del browser, impronta digitale del dispositivo e impronta digitale TLS.
CAPTCHA
Il test di Turing pubblico completamente automatizzato per distinguere computer e umani (CAPTCHA) viene utilizzato per distinguere tra visitatori robotici e umani e per prevenire il web scraping, il furto di credenziali e lo spam. Esistono diverse implementazioni, ma spesso implicano un enigma che un essere umano può risolvere. I CAPTCHA offrono un ulteriore livello di difesa contro i bot comuni e possono ridurre i falsi positivi nel rilevamento dei bot.
AWS WAF consente alle regole di eseguire un'azione CAPTCHA contro le richieste web che soddisfano i criteri di ispezione di una regola. Questa azione è il risultato della valutazione delle informazioni di identificazione del cliente raccolte dal servizio. AWS WAF le regole possono richiedere la risoluzione dei problemi relativi al CAPTCHA per risorse specifiche che sono spesso prese di mira dai bot, come il login, la ricerca e l'invio di moduli. AWS WAF possono servire direttamente CAPTCHA tramite mezzi interstiziali o utilizzando un SDK per gestirlo sul lato client. Per ulteriori informazioni, consulta CAPTCHA e Challenge in. AWS WAF
Profilazione del browser
La profilazione del browser è un metodo di raccolta e valutazione delle caratteristiche del browser, nell'ambito dell'acquisizione di token, per distinguere gli esseri umani reali che utilizzano un browser interattivo dall'attività distribuita dei bot. È possibile eseguire la profilazione del browser in modo passivo tramite intestazioni, ordine delle intestazioni e altre caratteristiche delle richieste inerenti al funzionamento dei browser.
È inoltre possibile eseguire la profilazione del browser nel codice utilizzando l'acquisizione di token. Utilizzando JavaScript per la profilazione del browser, è possibile determinare rapidamente se un client supporta. JavaScript Questo ti aiuta a rilevare bot semplici che non lo supportano. La profilazione del browser non controlla solo le intestazioni HTTP e il JavaScript supporto; la profilazione del browser rende difficile per i bot emulare completamente un browser web. Entrambe le opzioni di profilazione del browser hanno lo stesso obiettivo: trovare modelli in un profilo del browser che indichino un'incoerenza con il comportamento di un browser reale.
AWS WAF il controllo dei bot mirati indica, nell'ambito della valutazione dei token, se un browser mostra segni di automazione o segnali incoerenti. AWS WAF contrassegna la richiesta per eseguire l'azione specificata nella regola. Per ulteriori informazioni, consulta Rilevare e bloccare il traffico bot avanzato
Impronta digitale del dispositivo
L'impronta digitale del dispositivo è simile alla profilazione del browser, ma non si limita ai browser. Il codice in esecuzione su un dispositivo (che può essere un dispositivo mobile o un browser Web) raccoglie e riporta i dettagli del dispositivo a un server di backend. I dettagli possono includere attributi di sistema, come memoria, tipo di CPU, tipo di kernel del sistema operativo (OS), versione del sistema operativo e virtualizzazione.
È possibile utilizzare l'impronta digitale del dispositivo per riconoscere se un bot sta emulando un ambiente o se vi sono segnali diretti che l'automazione è in uso. Oltre a ciò, l'impronta digitale del dispositivo può essere utilizzata anche per riconoscere le richieste ripetute dallo stesso dispositivo.
Il riconoscimento delle richieste ripetute dallo stesso dispositivo, anche se il dispositivo tenta di modificare alcune caratteristiche della richiesta, consente a un sistema di backend di imporre regole di limitazione della velocità. Le regole di limitazione della velocità basate sull'impronta digitale del dispositivo sono in genere più efficaci delle regole di limitazione della velocità basate sugli indirizzi IP. Questo ti aiuta a mitigare il traffico bot che ruota tra VPN o proxy ma proviene da un numero limitato di dispositivi.
Se utilizzato con gli SDK di integrazione delle applicazioni, il controllo tramite AWS WAF bot mirati può aggregare il comportamento delle richieste di sessione del client. Ciò consente di rilevare e separare le sessioni client legittime da quelle dannose, anche quando entrambe provengono dallo stesso indirizzo IP. Per ulteriori informazioni sul controllo dei AWS WAF bot mirati, consulta Rilevare e bloccare il traffico bot avanzato
Impronta digitale TLS
Il fingerprinting TLS, noto anche come regole basate sulla firma, viene comunemente utilizzato quando i bot provengono da molti indirizzi IP ma presentano caratteristiche simili. Quando si utilizza HTTPS, i lati client e server si scambiano messaggi per confermarsi e verificarsi a vicenda. Stabiliscono algoritmi crittografici e chiavi di sessione. Questo è chiamato handshake TLS. Il modo in cui viene implementato un handshake TLS è una firma spesso utile per riconoscere attacchi di grandi dimensioni distribuiti su molti indirizzi IP.
L'impronta digitale TLS consente ai server Web di determinare l'identità di un client Web con un elevato grado di precisione. Richiede solo i parametri della prima connessione a pacchetto, prima che avvenga lo scambio di dati dell'applicazione. In questo caso, il client Web si riferisce all'applicazione che avvia una richiesta, che potrebbe essere un browser, uno strumento CLI, uno script (bot), un'applicazione nativa o un altro client.
Un approccio di impronta digitale SSL e TLS è l'impronta digitale JA3.
Amazon CloudFront supporta l'aggiunta di intestazioni JA3 alle richieste. Un'CloudFront-Viewer-JA3-Fingerprintintestazione contiene un'impronta digitale hash a 32 caratteri del pacchetto TLS Client Hello di una richiesta di visualizzazione in entrata. L'impronta digitale incapsula le informazioni su come comunica il client. Queste informazioni possono essere utilizzate per profilare i clienti che condividono lo stesso modello. È possibile aggiungere l'CloudFront-Viewer-JA3-Fingerprintintestazione a una policy di richiesta di origine e allegare la politica a una CloudFront distribuzione. Puoi quindi controllare il valore dell'intestazione nelle applicazioni di origine o in Lambda @Edge and Functions. CloudFront Puoi confrontare il valore dell'intestazione con un elenco di impronte digitali di malware note per bloccare i client dannosi. Puoi anche confrontare il valore dell'intestazione con un elenco di impronte digitali previste per consentire le richieste solo da client noti.
