Controlli statici per la gestione dei bot - AWS Guida prescrittiva
Consenti la pubblicazioneControlli basati su IPControlli intrinseci

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli statici per la gestione dei bot

Per eseguire un'azione, i controlli statici valutano le informazioni statiche contenute nella richiesta HTTP (S), come l'indirizzo IP o le intestazioni. Questi controlli possono essere utili per attività bot poco sofisticate o per il traffico di bot vantaggioso previsto che deve essere verificato e gestito. Le tecniche di controllo statico includono: elenco degli indirizzi consentiti, controlli basati su IP e controlli intrinseci.

Consenti la pubblicazione

L'elenco consentito è un controllo che consente l'identificazione di traffico amichevole tramite i controlli di mitigazione dei bot esistenti. Esistono diversi modi per farlo. Il metodo più semplice consiste nell'utilizzare una regola che corrisponda a un insieme di indirizzi IP o a una condizione di corrispondenza simile. Quando una richiesta corrisponde a una regola impostata su un'Allowazione, non viene valutata dalle regole successive. In alcuni casi, è necessario impedire che vengano applicate solo determinate regole; in altre parole, è necessario consentire l'elenco di una regola ma non di tutte le regole. Si tratta di uno scenario comune per la gestione dei falsi positivi per le regole. L'opzione Allow listing è considerata una regola di ampio respiro. Per ridurre il rischio di falsi negativi, ti consigliamo di abbinarla a un'altra opzione più granulare, come un percorso o un header match.

Controlli basati su IP

Blocchi di indirizzi IP singoli

Uno strumento comunemente usato per mitigare l'impatto dei bot consiste nel limitare le richieste provenienti da un singolo richiedente. L'esempio più semplice consiste nel bloccare l'indirizzo IP di origine del traffico se le sue richieste sono dannose o hanno un volume elevato. Questo utilizza le regole AWS WAF IP set match per implementare blocchi basati su IP. Queste regole corrispondono agli indirizzi IP e applicano un'azione di BlockChallenge, oCAPTCHA. È possibile determinare quando arrivano troppe richieste da un indirizzo IP esaminando il Content Delivery Network (CDN), un firewall di applicazioni Web o i registri di applicazioni e servizi. Tuttavia, nella maggior parte dei casi, questo controllo non è pratico senza automazione.

L'automazione degli elenchi di indirizzi IP bloccati AWS WAF viene generalmente eseguita con regole basate sulla frequenza. Per ulteriori informazioni sul tagging, consulta Regole basata sulla frequenzain questa guida. Puoi anche implementare la soluzione Security Automations for. AWS WAF Questa soluzione aggiorna automaticamente un elenco di indirizzi IP da bloccare e una AWS WAF regola nega le richieste che corrispondono a tali indirizzi IP.

Un modo per riconoscere un attacco bot è se una moltitudine di richieste provenienti dallo stesso indirizzo IP si concentra su un numero limitato di pagine Web. Ciò indica che il bot sta abbassando i prezzi o sta tentando ripetutamente di effettuare accessi con esito negativo con una percentuale elevata. Puoi creare automazioni che riconoscono immediatamente questo schema. Le automazioni bloccano l'indirizzo IP, il che riduce l'efficacia dell'attacco identificandolo e mitigandolo rapidamente. Il blocco di indirizzi IP specifici è meno efficace quando un utente malintenzionato dispone di un'ampia raccolta di indirizzi IP da cui lanciare attacchi o quando il comportamento di attacco è difficile da riconoscere e separare dal traffico normale. 

Reputazione degli indirizzi IP

Un servizio di reputazione IP fornisce informazioni che aiutano a valutare l'affidabilità di un indirizzo IP. Questa intelligence viene in genere derivata dall'aggregazione di informazioni relative all'IP relative alle attività passate provenienti da quell'indirizzo IP. Le attività precedenti aiutano a indicare la probabilità che un indirizzo IP generi richieste dannose. I dati vengono aggiunti agli elenchi gestiti che tengono traccia del comportamento degli indirizzi IP.

Gli indirizzi IP anonimi sono un caso specializzato di reputazione degli indirizzi IP. L'indirizzo IP di origine proviene da fonti note di indirizzi IP facilmente acquisibili, come macchine virtuali basate sul cloud, o da proxy, come provider VPN o nodi Tor noti. I gruppi di regole gestiti da AWS WAF Amazon IP Reputation List e Anonymous IP List utilizzano l'intelligence interna di Amazon sulle minacce per identificare questi indirizzi IP.

L'intelligence fornita da questi elenchi gestiti può aiutarti ad agire in base alle attività identificate da queste fonti. Sulla base di queste informazioni, puoi creare regole che bloccano direttamente il traffico o regole che limitano il numero di richieste (come le regole basate sulla tariffa). È inoltre possibile utilizzare questa intelligenza per valutare la fonte del traffico utilizzando le regole in COUNT modalità. In questo modo vengono esaminati i criteri di corrispondenza e vengono applicate etichette che è possibile utilizzare per creare regole personalizzate.

Regole basata sulla frequenza

Le regole basate sulle tariffe possono essere uno strumento prezioso per determinati scenari. Ad esempio, le regole basate sulla tariffa sono efficaci quando il traffico dei bot raggiunge volumi elevati rispetto agli utenti che utilizzano identificatori di risorse uniformi (URI) sensibili o quando il volume di traffico inizia a influire sulle normali operazioni. La limitazione della velocità può mantenere le richieste a livelli gestibili e limitare e controllare l'accesso. AWS WAF può implementare una regola di limitazione della velocità in una lista di controllo degli accessi Web (Web ACL) utilizzando una dichiarazione di regola basata sulla velocità. Un approccio consigliato quando si utilizzano regole basate sulla frequenza consiste nell'includere una regola generale che copra l'intero sito, regole specifiche per l'URI e regole basate sulla percentuale di reputazione IP. Le regole basate sulla percentuale di reputazione IP combinano l'intelligenza della reputazione degli indirizzi IP con la funzionalità di limitazione della velocità.

Per l'intero sito, una regola generale basata sul tasso di reputazione IP crea un limite che impedisce a bot non sofisticati di invadere un sito con un numero limitato di IP. La limitazione della velocità è particolarmente consigliata per proteggere gli URI che hanno costi o impatto elevati, come le pagine di accesso o di creazione di account.

Le regole di limitazione della velocità possono fornire un primo livello di difesa efficiente in termini di costi. Puoi utilizzare regole più avanzate per proteggere gli URI sensibili. Le regole basate sulla frequenza specifiche degli URI possono limitare l'impatto sulle pagine critiche o sulle API che influiscono sul backend, come l'accesso al database. Le mitigazioni avanzate per proteggere determinati URI, illustrate più avanti in questa guida, spesso comportano costi aggiuntivi e queste regole basate sulla tariffa specifiche per gli URI possono aiutarti a controllare i costi. Per ulteriori informazioni sulle regole basate sulla tariffa comunemente consigliate, consulta Le tre regole basate sulla tariffa più importanti nel Security Blog. AWS WAF AWS In alcune situazioni, è utile limitare il tipo di richiesta valutata da una regola basata sulla tariffa. È possibile utilizzare le istruzioni scope-down per, ad esempio, limitare le regole basate sulla frequenza in base all'area geografica dell'indirizzo IP di origine.

AWS WAF offre una funzionalità avanzata per le regole basate sulla velocità tramite l'uso di chiavi di aggregazione. Con questa funzionalità, è possibile configurare una regola basata sulla frequenza per utilizzare varie altre chiavi di aggregazione e combinazioni di tasti, oltre all'indirizzo IP di origine. Ad esempio, come singola combinazione, puoi aggregare le richieste in base a un indirizzo IP inoltrato, al metodo HTTP e a un argomento di query. Ciò consente di configurare regole più dettagliate per una sofisticata mitigazione del traffico volumetrico.

Controlli intrinseci

I controlli intrinseci sono vari tipi di convalide o verifiche interne o intrinseche all'interno di un sistema o processo. Per il controllo dei bot, AWS WAF esegue un controllo intrinseco convalidando che le informazioni inviate nella richiesta corrispondano ai segnali del sistema. Ad esempio, esegue ricerche DNS inverse e altre verifiche di sistema. Alcune richieste automatiche sono necessarie, come le richieste relative alla SEO. L'opzione Allow Listing è un modo per consentire l'accesso a bot validi e attesi. A volte, però, i bot malevoli emulano bot validi e può essere difficile separarli. AWS WAF fornisce metodi per eseguire questa operazione tramite il gruppo di regole AWS WAF Bot Control gestito. Le regole di questo gruppo consentono di verificare che i bot autoidentificati siano chi dicono di essere. AWS WAF verifica i dettagli della richiesta rispetto allo schema noto di quel bot ed esegue anche ricerche DNS inverse e altre verifiche oggettive.