管理機器人的靜態控制 - AWS 方案指引
允許刊登基於 IP 的控制內在檢查

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理機器人的靜態控制

若要採取動作,靜態控制項會評估 HTTP (S) 要求的靜態資訊,例如其 IP 位址或其標頭。這些控制項對於低精度不良機器人活動或需要驗證和管理的預期有益機器人流量非常有用。靜態控制技術包括:允許列表,基於 IP 的控件和內在檢查。

允許刊登

允許清單是一種控制項,可透過現有的機器人緩解控制項允許識別的友善流 有多種方法可以實現這一目標。最簡單的方法是使用符合一組 IP 位址或類似符合條件的規則。當請求與設定為Allow動作的規則相符時,後續規則不會對其進行評估。在某些情況下,您只需要防止某些規則執行;換句話說,您需要允許列出一個規則,但不是所有規則。這是處理規則誤報的常見案例。允許刊登物品被視為廣泛範圍的規則。為了減少誤報的可能性,我們建議您將其與另一個更精細的選項配對,例如路徑或標頭相符。

基於 IP 的控制

單一 IP 位址區塊

減輕機器人影響的常用工具是限制來自單一要求者的要求。最簡單的範例是封鎖流量的來源 IP 位址,如果流量的要求為惡意或大量。這會使用 AWS WAF IP 集比對規則來實作以 IP 為基礎的區塊。這些規則符合 IP 位址,並套用BlockChallenge、或的動作CAPTCHA。您可以查看內容傳遞網路 (CDN)、Web 應用程式防火牆或應用程式和服務記錄檔,判斷何時從 IP 位址傳入太多要求。但是,在大多數情況下,如果沒有自動化,這種控制是不切實際的。

自動化中的 IP 位址封鎖清單通常 AWS WAF 是使用以速率為基礎的規則來完成的。如需詳細資訊,請參閱本指南中的 速率為基礎的規則。您也可以實作 AWS WAF解決方案的安全自動化。此解決方案會自動更新要封鎖的 IP 位址清單,而 AWS WAF 規則會拒絕符合這些 IP 位址的要求。

識別機器人攻擊的一種方法是,如果來自同一 IP 地址的大量請求集中在少量網頁上。這表明機器人正在報價或反复嘗試以高百分比失敗的登錄。您可以建立立即識別此模式的自動化。自動化功能會封鎖 IP 位址,藉由快速識別和緩解攻擊來降低攻擊效能。如果攻擊者擁有大量 IP 位址來發動攻擊,或是當攻擊行為難以辨識且與一般流量分開時,封鎖特定 IP 位址的效果就較差。 

IP 位址信譽評等

IP 信譽評等服務可提供情報,協助評估 IP 位址的可信度。這種情報通常是從該 IP 位址彙總過去活動的 IP 相關資訊。先前的活動有助於指出 IP 位址產生惡意要求的可能性。資料會新增至追蹤 IP 位址行為的受管理清單。

匿名 IP 位址是 IP 位址信譽的特殊案例。來源 IP 位址來自容易取得的 IP 位址 (例如雲端虛擬機器) 的已知來源,或來自代理伺服器 (例如已知的 VPN 供應商或 Tor 節點)。 AWS WAF Amazon IP 信譽清單匿名 IP 清單受管規則群組使用 Amazon 內部威脅情報來協助識別這些 IP 地址。

這些受管理清單所提供的情報可協助您根據這些來源所識別的活動採取行動。根據此情報,您可以建立直接封鎖流量的規則,或是限制要求數目的規則 (例如以速率為基礎的規則)。您也可以使用此情報來評估流量的來源,方法是使用COUNT模式中的規則。這會檢查比對準則,並套用您可用來建立自訂規則的標籤。

速率為基礎的規則

以速率為基礎的規則對於某些情況而言可能是非常有用的 例如,與敏感統一資源識別碼 (URI) 的使用者相比,機器人流量達到大量時,或者流量開始影響正常作業時,以速率為基礎的規則就會生效。速率限制可以將請求保持在可管理的層級,並限制和控制存取。 AWS WAF 可以使用以速率為基礎的規則陳述式,在 Web 存取控制清單 (Web ACL) 中實作速率限制規則。使用以速率為基礎的規則時,建議的做法是包含涵蓋整個網站、URI 特定規則和以 IP 信譽率為基礎的規則的總括規則。以 IP 信譽速率為基礎的規則結合了 IP 位址信譽的智慧與速率限制功能。

對於整個網站,基於 IP 信譽率的全面規則會創建一個上限,以防止不複雜的機器人從少量 IP 淹沒站點。特別建議使用速率限制來保護具有高成本或影響力的 URI,例如登入或帳戶建立頁面。

速率限制規則可提供符合成本效益的第一層防禦。您可以使用更高級的規則來保護敏感的 URI。以 URI 為基礎的速率規則可以限制對影響後端 (例如資料庫存取) 的關鍵頁面或 API 的影響。進階緩和措施可保護本指南稍後討論的特定 URI,通常會產生額外費用,而這些以 URI 為基礎的速率規則可協助您控制成本。如需有關一般建議以速率為基礎的規則的詳細資訊,請參閱 AWS 安全部落格中的三個最重要的 AWS WAF 速率型規則。在某些情況下,限制以速率為基礎的規則評估哪種類型的請求非常有用。例如,您可以使用範圍向下陳述式,依來源 IP 位址的地理區域限制以速率為基礎的規則。

AWS WAF 透過使用彙總索引鍵,為以速率為基礎的規則提供進階功能。透過此功能,您可以設定以速率為基礎的規則,以使用來源 IP 位址以外的各種其他彙總索引鍵和索引鍵組合。例如,作為單一組合,您可以根據轉寄的 IP 位址、HTTP 方法和查詢引數來彙總要求。這可協助您針對複雜的容量流量緩和設定更精細的規則。

內在檢查

內在檢查是系統或過程中的各種類型的內部或固有的驗證或驗證。對於機器人控制,通過驗證請求中發送的信息是否與系統信號匹配來 AWS WAF 執行內在檢查。例如,它會執行反向 DNS 查閱和其他系統驗證。某些自動請求是必要的,例如 SEO 相關請求。允許上市是一種允許良好的預期漫遊器通過的方法。但是有時候,惡意漫遊器會模擬好的漫遊器,並且將它們分開可能很具挑戰性。 AWS WAF 提供透過受管理AWS WAF 機器人控制規則群組完成此操作的方法。該組中的規則提供了驗證,證明自我識別的機器人是他們所說的自己。 AWS WAF 根據該機器人的已知模式檢查請求的詳細信息,並且還執行反向 DNS 查詢和其他客觀驗證。