Controles estáticos para gerenciar bots - AWS Orientação prescritiva
Permitir listagemControles baseados em IPVerificações intrínsecas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles estáticos para gerenciar bots

Para realizar uma ação, os controles estáticos avaliam as informações estáticas da solicitação HTTP (S), como o endereço IP ou os cabeçalhos. Esses controles podem ser úteis para atividades de bots mal-intencionados de baixa sofisticação ou para o tráfego esperado de bots benéfico que precisa ser verificado e gerenciado. As técnicas de controle estático incluem: permitir listagem, controles baseados em IP e verificações intrínsecas.

Permitir listagem

Permitir listagem é um controle que permite identificar tráfego amigável por meio dos controles existentes de mitigação de bots. Há várias maneiras de fazer isso. O mais simples é usar uma regra que corresponda a um conjunto de endereços IP ou a uma condição de correspondência semelhante. Quando uma solicitação corresponde a uma regra definida como uma Allow ação, ela não é avaliada pelas regras subsequentes. Em alguns casos, você precisa evitar que apenas determinadas regras sejam aplicadas; em outras palavras, você precisa permitir uma lista para uma regra, mas não para todas as regras. Esse é um cenário comum para lidar com falsos positivos para regras. Permitir listagem é considerada uma regra de amplo escopo. Para reduzir o potencial de falsos negativos, recomendamos que você a combine com outra opção mais granular, como uma correspondência de caminho ou cabeçalho.

Controles baseados em IP

Blocos de endereço IP único

Uma ferramenta comumente usada para mitigar o impacto dos bots é limitar as solicitações de um único solicitante. O exemplo mais simples é bloquear o endereço IP de origem do tráfego se suas solicitações forem maliciosas ou tiverem alto volume. Isso usa regras de correspondência de conjuntos de AWS WAF IP para implementar blocos baseados em IP. Essas regras coincidem com os endereços IP e aplicam uma ação de BlockChallenge, ouCAPTCHA. Você pode determinar quando muitas solicitações estão chegando de um endereço IP examinando a Rede de Distribuição de Conteúdo (CDN), um firewall de aplicativo web ou registros de aplicativos e serviços. No entanto, na maioria dos casos, esse controle é impraticável sem automação.

A automatização de listas de bloqueio de endereços IP geralmente AWS WAF é feita com regras baseadas em taxas. Para obter mais informações, consulte Regras com base em taxa neste guia. Você também pode implementar as automações de segurança para a AWS WAF solução. Essa solução atualiza automaticamente uma lista de endereços IP a serem bloqueados, e uma AWS WAF regra nega solicitações que correspondam a esses endereços IP.

Uma forma de reconhecer um ataque de bot é se várias solicitações do mesmo endereço IP se concentrarem em um pequeno número de páginas da web. Isso indica que o bot está cortando preços ou tentando repetidamente logins que falham em uma alta porcentagem. Você pode criar automações que reconheçam imediatamente esse padrão. As automações bloqueiam o endereço IP, o que reduz a eficácia do ataque ao identificá-lo e mitigá-lo rapidamente. O bloqueio de endereços IP específicos é menos eficaz quando um atacante tem uma grande coleção de endereços IP a partir dos quais lançar ataques ou quando o comportamento do ataque é difícil de reconhecer e separar do tráfego normal. 

Reputação do endereço IP

Um serviço de reputação de IP fornece inteligência que ajuda a avaliar a confiabilidade de um endereço IP. Essa inteligência geralmente é derivada da agregação de informações relacionadas ao IP de atividades passadas desse endereço IP. A atividade anterior ajuda a indicar a probabilidade de um endereço IP gerar solicitações maliciosas. Os dados são adicionados às listas gerenciadas que rastreiam o comportamento do endereço IP.

Endereços IP anônimos são um caso especializado de reputação de endereços IP. O endereço IP de origem se origina de fontes conhecidas de endereços IP facilmente adquiridos, como máquinas virtuais baseadas em nuvem, ou de proxies, como provedores de VPN conhecidos ou nós Tor. Os grupos de regras gerenciados da AWS WAF Amazon IP Reputation List e Anonymous IP List usam a inteligência interna de ameaças da Amazon para ajudar a identificar esses endereços IP.

A inteligência fornecida por essas listas gerenciadas pode ajudá-lo a agir sobre as atividades identificadas a partir dessas fontes. Com base nessa inteligência, você pode criar regras que bloqueiam diretamente o tráfego ou regras que limitam o número de solicitações (como regras baseadas em taxas). Você também pode usar essa inteligência para avaliar a origem do tráfego usando as regras no COUNT modo. Isso examina os critérios de correspondência e aplica rótulos que você pode usar para criar regras personalizadas.

Regras com base em taxa

As regras baseadas em taxas podem ser uma ferramenta valiosa para determinados cenários. Por exemplo, as regras baseadas em taxas são eficazes quando o tráfego de bots atinge grandes volumes em comparação com usuários em identificadores uniformes de recursos (URIs) confidenciais ou quando o volume de tráfego começa a afetar as operações normais. A limitação de taxa pode manter as solicitações em níveis gerenciáveis e limitar e controlar o acesso. AWS WAF pode implementar uma regra de limitação de taxa em uma lista de controle de acesso à web (Web ACL) usando uma declaração de regra baseada em taxa. Uma abordagem recomendada ao usar regras baseadas em taxas é incluir uma regra geral que abranja todo o site, regras específicas de URI e regras baseadas na taxa de reputação de IP. As regras baseadas na taxa de reputação de IP combinam a inteligência da reputação do endereço IP com a funcionalidade de limitação de taxa.

Para todo o site, uma regra geral baseada na taxa de reputação de IP cria um teto que impede que bots não sofisticados inundem um site a partir de um pequeno número de IPs. A limitação de taxa é especialmente recomendada para proteger URIs com alto custo ou impacto, como páginas de login ou criação de conta.

As regras de limitação de taxa podem fornecer uma primeira camada de defesa econômica. Você pode usar regras mais avançadas para proteger URIs confidenciais. As regras baseadas em taxas específicas do URI podem limitar o impacto em páginas críticas ou em APIs que afetam o back-end, como o acesso ao banco de dados. As mitigações avançadas para proteger determinados URIs, que serão discutidas posteriormente neste guia, geralmente incorrem em custos adicionais, e essas regras baseadas em taxas específicas de URI podem ajudá-lo a controlar os custos. Para obter mais informações sobre as regras baseadas em taxas comumente recomendadas, consulte As três regras baseadas em AWS WAF taxas mais importantes no Blog de Segurança. AWS Em algumas situações, é útil limitar o tipo de solicitação que é avaliada por uma regra baseada em taxas. Você pode usar instruções de escopo reduzido para, por exemplo, limitar as regras baseadas em taxas pela área geográfica do endereço IP de origem.

AWS WAF oferece um recurso avançado para regras baseadas em taxas por meio do uso de chaves de agregação. Com essa funcionalidade, você pode configurar uma regra baseada em taxa para usar várias outras chaves de agregação e combinações de chaves, além do endereço IP de origem. Por exemplo, como uma única combinação, você pode agregar solicitações com base em um endereço IP encaminhado, no método HTTP e em um argumento de consulta. Isso ajuda você a configurar regras mais refinadas para mitigação sofisticada de tráfego volumétrico.

Verificações intrínsecas

As verificações intrínsecas são vários tipos de validações ou verificações internas ou inerentes a um sistema ou processo. Para controle de bots, AWS WAF realiza uma verificação intrínseca validando se as informações enviadas na solicitação correspondem aos sinais do sistema. Por exemplo, ele realiza pesquisas reversas de DNS e outras verificações do sistema. Algumas solicitações automatizadas são necessárias, como solicitações relacionadas a SEO. Permitir a listagem é uma forma de permitir a entrada de bots bons e esperados. Mas, às vezes, bots maliciosos emulam bots bons, e pode ser difícil separá-los. AWS WAF fornece métodos para fazer isso por meio do grupo de regras gerenciado do AWS WAF Bot Control. As regras desse grupo fornecem a verificação de que os bots autoidentificados são quem dizem ser. AWS WAF verifica os detalhes da solicitação em relação ao padrão conhecido desse bot e também realiza pesquisas reversas de DNS e outras verificações objetivas.