本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
本節說明 Bot Control 受管規則群組的功能。
VendorName:AWS,Name:AWSManagedRulesBotControlRuleSet
注意
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API 命令 DescribeManagedRuleGroup。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的內容。
如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心
Bot Control 受管規則群組提供管理來自機器人請求的規則。機器人可以消耗過多的資源、扭曲業務指標、造成停機時間,以及執行惡意活動。
保護層級
Bot Control 受管規則群組提供兩種層級的保護,您可以從中選擇:
-
常見 – 偵測各種自我識別機器人,例如 Web 抓取架構、搜尋引擎和自動化瀏覽器。此層級的機器人控制保護會使用傳統機器人偵測技術來識別常見的機器人,例如靜態請求資料分析。規則會標記來自這些機器人的流量,並封鎖他們無法驗證的流量。
-
目標型 – 包含共同層級的保護,並為無法自我識別的複雜機器人新增目標型偵測。針對性保護使用速率限制和 CAPTCHA 和背景瀏覽器挑戰的組合來緩解機器人活動。
TGT_– 提供目標保護的規則具有以 開頭的名稱TGT_。所有目標式保護都使用偵測技術,例如瀏覽器查詢、指紋識別和行為啟發式來識別不良的機器人流量。TGT_ML_– 使用機器學習的目標保護規則具有以 開頭的名稱TGT_ML_。這些規則使用網站流量統計資料的自動化機器學習分析來偵測指示分散式、協調機器人活動的異常行為。 AWS WAF 分析網站流量的統計資料,例如時間戳記、瀏覽器特性和先前造訪的 URL,以改善 Bot Control 機器學習模型。機器學習功能預設為啟用,但您可以在規則群組組態中停用。當機器學習停用時, AWS WAF 不會評估這些規則。
目標保護層級和速率 AWS WAF 型規則陳述式都提供速率限制。如需兩個選項的比較,請參閱速率型規則和目標 Bot Control 規則中速率限制的選項。
使用此規則群組的考量事項
此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱 中的智慧型威脅緩解 AWS WAF。
注意
當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱 AWS WAF 定價
若要降低成本,並確保您隨心所欲地管理 Web 流量,請根據 中的指引使用此規則群組中的智慧型威脅緩解最佳實務 AWS WAF。
我們會定期更新目標防護層級 ML 型規則的機器學習 (ML) 模型,以改善機器人預測。ML 型規則的名稱開頭為 TGT_ML_。如果您注意到這些規則對機器人所做的預測發生突然且重大的變更,請透過您的客戶經理聯絡我們,或在 AWS 支援 Center
此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤和 標籤指標和維度。
權杖標籤
此規則群組使用 AWS WAF 權杖管理,根據其 AWS WAF 權杖的狀態來檢查和標記 Web 請求。 AWS WAF 使用權杖進行用戶端工作階段追蹤和驗證。
如需權杖和權杖管理的相關資訊,請參閱 用於 AWS WAF 智慧型威脅緩解的字符。
如需此處所述標籤元件的詳細資訊,請參閱中的標籤語法和命名要求 AWS WAF。
用戶端工作階段標籤
標籤awswaf:managed:token:id:包含權 AWS WAF 杖管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的權杖,例如在捨棄正在使用的權杖之後,識別符可能會變更。identifier
注意
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
瀏覽器指紋標籤
標籤awswaf:managed:token:fingerprint:包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。fingerprint-identifier
注意
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
權杖狀態標籤:標籤命名空間字首
字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。
每個字符狀態標籤都以下列其中一個命名空間字首開頭:
awswaf:managed:token:– 用於報告字符的一般狀態,以及報告字符挑戰資訊的狀態。awswaf:managed:captcha:– 用於報告字符的 CAPTCHA 資訊狀態。
字符狀態標籤:標籤名稱
在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:
accepted– 請求權杖存在且包含下列項目:有效的挑戰或 CAPTCHA 解決方案。
未過期的挑戰或 CAPTCHA 時間戳記。
適用於 Web ACL 的網域規格。
範例:標籤
awswaf:managed:token:accepted指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記和有效的網域。-
rejected– 請求字符存在,但不符合接受條件。除了拒絕的標籤之外,權杖管理還會新增自訂標籤命名空間和名稱,以指出原因。
rejected:not_solved– 字符缺少挑戰或 CAPTCHA 解決方案。rejected:expired– 權杖的挑戰或 CAPTCHA 時間戳記已過期,這取決於您 Web ACL 設定的權杖抗擾性時間。rejected:domain_mismatch– 權杖的網域與您 Web ACL 權杖網域組態不相符。rejected:invalid– AWS WAF 無法讀取指定的字符。
範例:標籤
awswaf:managed:captcha:rejected和awswaf:managed:captcha:rejected:expired一起指出請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過 Web ACL 中設定的 CAPTCHA 字符抗擾性時間。 -
absent– 請求沒有字符或字符管理器無法讀取。範例:標籤
awswaf:managed:captcha:absent指出請求沒有字符。
機器人控制標籤
Bot Control 受管規則群組會產生名稱空間字首為 的標籤,awswaf:managed:aws:bot-control:後面接著自訂命名空間和標籤名稱。規則群組可能會將多個標籤新增至請求。
每個標籤都會反映 Bot Control 規則調查結果:
-
awswaf:managed:aws:bot-control:bot:– 與請求相關聯的機器人資訊。-
awswaf:managed:aws:bot-control:bot:name:– 機器人名稱,如果有的話,例如自訂命名空間<name>bot:name:slurp、bot:name:googlebot和bot:name:pocket_parser。 -
awswaf:managed:aws:bot-control:bot:category:– 機器人的類別, AWS WAF如 和<category>bot:category:search_engine所定義bot:category:content_fetcher。 -
awswaf:managed:aws:bot-control:bot:organization:– 機器人的發佈者,例如<organization>bot:organization:google。 -
awswaf:managed:aws:bot-control:bot:verified– 用來指示機器人識別自己,以及機器人控制已驗證。這用於常見的所需機器人,當 與 或 等類別標籤bot:category:search_engine或 等名稱標籤結合使用時非常有用bot:name:googlebot。注意
Bot Control 使用 Web 請求原始伺服器的 IP 地址,協助判斷機器人是否已驗證。您無法將其設定為使用 AWS WAF 轉送的 IP 組態,以檢查不同的 IP 地址來源。如果您已驗證透過代理或負載平衡器路由的機器人,您可以新增在 Bot Control 規則群組之前執行的規則,以協助解決此問題。設定您的新規則以使用轉送的 IP 地址,並明確允許來自已驗證機器人的請求。如需使用轉送 IP 地址的詳細資訊,請參閱在 中使用轉送的 IP 地址 AWS WAF。
-
awswaf:managed:aws:bot-control:bot:user_triggered:verified– 用來表示與已驗證機器人類似的機器人,但最終使用者可能會直接叫用。機器人控制規則會將此類型的機器人視為未驗證的機器人。 -
awswaf:managed:aws:bot-control:bot:developer_platform:verified– 用來表示與已驗證的機器人類似的機器人,但開發人員平台用於指令碼,例如 Google Apps Script。機器人控制規則會將此類型的機器人視為未驗證的機器人。 -
awswaf:managed:aws:bot-control:bot:unverified– 用來指示識別自己的機器人,以便可以命名和分類,但不會發佈可用來獨立驗證其身分的資訊。這些類型的機器人簽章可以偽造,因此會被視為未驗證。
-
-
awswaf:managed:aws:bot-control:targeted:– 用於 Bot Control 目標防護特有的標籤。<additional-details> -
awswaf:managed:aws:bot-control:signal:和<signal-details>awswaf:managed:aws:bot-control:targeted:signal:– 用於在某些情況下提供有關請求的其他資訊。<signal-details>以下是訊號標籤的範例。這不是詳盡的清單:
-
awswaf:managed:aws:bot-control:signal:cloud_service_provider:– 表示請求的雲端服務提供者 (CSP)。CSPs 的範例包括<CSP>awsAmazon Web Services 基礎設施、Google Cloud Platformgcp(GCP) 基礎設施、azureMicrosoft Azure 雲端服務和 Oracle Cloudoracle服務。 -
awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension– 表示偵測協助自動化的瀏覽器延伸模組,例如 Selenium IDE。每當使用者安裝了這種類型的延伸模組時,就會新增此標籤,即使使用者未主動使用也一樣。如果您為此實作標籤比對規則,請注意在規則邏輯和動作設定中出現誤報的可能性。例如,您可以使用 CAPTCHA動作,而不是 Block,或者您可以將此標籤比對與其他標籤比對結合,以增加您使用自動化的信心。
-
awswaf:managed:aws:bot-control:signal:automated_browser– 表示請求包含可能自動化用戶端瀏覽器的指標。 -
awswaf:managed:aws:bot-control:targeted:signal:automated_browser– 表示請求的 AWS WAF 權杖包含用戶端瀏覽器可能自動化的指標。
-
您可以呼叫 ,透過 API 擷取規則群組的所有標籤DescribeManagedRuleGroup。標籤會列在回應的 AvailableLabels 屬性中。
Bot Control 受管規則群組會將標籤套用至一組通常允許的可驗證機器人。規則群組不會封鎖這些已驗證的機器人。如果需要,您可以撰寫自訂規則來封鎖它們,或使用 Bot Control 受管規則群組套用的標籤來封鎖它們或其中一部分。如需此 和範例的詳細資訊,請參閱 AWS WAF 機器人控制。
機器人控制規則清單
本節列出機器人控制規則。
注意
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API 命令 DescribeManagedRuleGroup。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的資訊。
如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心
| 規則名稱 | 描述 |
|---|---|
CategoryAdvertising |
檢查用於廣告目的的機器人。例如,您可以使用第三方廣告服務,以程式設計方式存取您的網站。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategoryArchiver |
檢查用於封存目的的機器人。這些機器人會爬取 Web 並擷取內容,以建立封存。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategoryContentFetcher |
檢查代表使用者造訪應用程式網站的機器人、擷取 RSS 摘要等內容,或驗證或驗證您的內容。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategoryEmailClient |
檢查機器人是否檢查指向應用程式網站的電子郵件中的連結。這可能包括由企業和電子郵件供應商執行的機器人,以驗證電子郵件中的連結並標記可疑的電子郵件。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategoryHttpLibrary |
檢查機器人從各種程式設計語言的 HTTP 程式庫產生的請求。這些可能包括您選擇允許或監控的 API 請求。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategoryLinkChecker |
檢查檢查是否有連結中斷的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategoryMiscellaneous |
檢查其他不符合其他類別的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategoryMonitoring |
檢查用於監控目的的機器人。例如,您可以使用機器人監控服務來定期 ping 應用程式網站,以監控效能和運作時間等項目。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategoryScrapingFramework |
檢查機器人是否來自 Web 抓取架構,這些架構用於自動從網站爬取和擷取內容。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategorySearchEngine |
檢查搜尋引擎機器人,哪些爬蟲網站可編製內容索引,並使資訊可用於搜尋引擎結果。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategorySecurity |
檢查掃描 Web 應用程式是否有漏洞或執行安全稽核的機器人。例如,您可以使用第三方安全廠商來掃描、監控或稽核 Web 應用程式的安全性。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategorySeo |
檢查用於搜尋引擎最佳化的機器人。例如,您可以使用搜尋引擎工具來爬取您的網站,以協助您改善搜尋引擎排名。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategorySocialMedia |
檢查社交媒體平台所使用的機器人,以便在使用者共用您的內容時提供內容摘要。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤,以及標籤 |
CategoryAI |
檢查人工智慧 (AI) 機器人。 注意此規則會將動作套用至所有相符項目,無論機器人是否已驗證。 規則動作:Block 標籤: 對於已驗證的機器人,規則群組符合此規則並採取 動作。它還會新增機器人名稱和類別標籤、規則標籤,以及標籤 |
SignalAutomatedBrowser |
檢查未來自已驗證機器人的請求,是否有可能自動化用戶端瀏覽器的指標。自動化瀏覽器可用於測試或抓取。例如,您可以使用這些類型的瀏覽器來監控或驗證應用程式網站。 規則動作:Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 |
SignalKnownBotDataCenter |
檢查非來自已驗證機器人的請求,了解機器人通常使用的資料中心指標。 規則動作:Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 |
SignalNonBrowserUserAgent |
檢查非來自已驗證機器人的請求,是否有似乎不是來自 Web 瀏覽器的使用者代理程式字串。此類別可以包含 API 請求。 規則動作:Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 |
TGT_VolumetricIpTokenAbsent |
檢查過去 5 分鐘內未來自已驗證機器人且來自單一用戶端的 5 個或更多請求的請求,這些請求不包含有效的挑戰字符。如需權杖的資訊,請參閱 用於 AWS WAF 智慧型威脅緩解的字符。 注意如果來自相同用戶端的請求最近缺少字符,則此規則可能符合具有字符的請求。 此規則套用的閾值可能因延遲而略有不同。 此規則處理缺少的字符與字符標籤不同: 規則動作:Challenge 標籤: |
TGT_TokenAbsent |
檢查未來自未包含有效挑戰字符之已驗證機器人的請求。如需權杖的資訊,請參閱 用於 AWS WAF 智慧型威脅緩解的字符。 規則動作:Count 標籤: |
TGT_VolumetricSession |
檢查非來自 5 分鐘內來自單一用戶端工作階段之已驗證機器人的異常大量請求。評估是根據與使用歷史流量模式 AWS WAF 維護的標準容積基準的比較。 此檢查僅適用於 Web 請求具有權杖的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 注意此規則可能需要 5 分鐘才能在您啟用之後生效。Bot Control 透過比較目前的流量與 AWS WAF 運算的流量基準,來識別 Web 流量中的異常行為。 規則動作:CAPTCHA 標籤: 規則群組會將下列標籤套用至高於最低閾值的中磁碟區和較低磁碟區請求。對於這些層級,無論用戶端是否已驗證: |
TGT_VolumetricSessionMaximum |
檢查非來自 5 分鐘內來自單一用戶端工作階段之已驗證機器人的異常大量請求。評估是根據與使用歷史流量模式 AWS WAF 維護的標準容積基準的比較。 此規則表示評估的最大可信度。 此檢查僅適用於 Web 請求具有權杖的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 注意此規則可能需要 5 分鐘才能在您啟用之後生效。Bot Control 透過比較目前的流量與 AWS WAF 運算的流量基準,來識別 Web 流量中的異常行為。 規則動作:Block 標籤: |
TGT_SignalAutomatedBrowser |
檢查未來自已驗證機器人之請求的字符,是否有可能自動化用戶端瀏覽器的指標。如需詳細資訊,請參閱AWS WAF 字符特性。 此檢查僅適用於 Web 請求具有權杖的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 規則動作:CAPTCHA 標籤: |
TGT_SignalBrowserAutomationExtension |
檢查不是來自已驗證機器人的請求,這些機器人指出存在協助自動化的瀏覽器延伸模組,例如 Selenium IDE。每當使用者安裝了此類型的延伸模組時,即使使用者未主動使用,此規則也會相符。 此檢查僅適用於 Web 請求具有權杖的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 規則動作:CAPTCHA 標籤: |
TGT_SignalBrowserInconsistency |
檢查未來自已驗證機器人的請求是否有不一致的瀏覽器查詢資料。如需詳細資訊,請參閱AWS WAF 字符特性。 此檢查僅適用於 Web 請求具有權杖的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 規則動作:CAPTCHA 標籤: |
TGT_ML_CoordinatedActivityLow,
TGT_ML_CoordinatedActivityMedium,
TGT_ML_CoordinatedActivityHigh
|
檢查非來自已驗證機器人的請求是否有與分散式、協調機器人活動一致的異常行為。規則層級表示一組請求是協同攻擊參與者的可信度層級。 注意這些規則只有在規則群組設定為使用機器學習 (ML) 時才會執行。如需設定此選項的詳細資訊,請參閱 將 AWS WAF Bot Control 受管規則群組新增至您的 Web ACL。 注意這些規則適用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 AWS WAF 會透過網站流量統計資料的機器學習分析來執行此檢查。 會每幾分鐘 AWS WAF 分析 Web 流量,並最佳化分析,以偵測分佈於許多 IP 地址的低強度、長時間機器人。 這些規則在判斷協同攻擊是否進行中之前,可能會在極少數的請求上相符。因此,如果您只看到一兩個相符項目,則結果可能是誤判。不過,如果您看到這些規則出現許多相符項目,則表示您可能正經歷協同攻擊。 注意在您使用 ML 選項啟用 Bot Control 目標規則後,這些規則最多可能需要 24 小時才會生效。Bot Control 透過比較目前的流量與已計算的 AWS WAF 流量基準來識別 Web 流量中的異常行為。只有在您使用 Bot Control 目標規則搭配 ML 選項時, AWS WAF 才會計算基準,而且最多可能需要 24 小時才能建立有意義的基準。 我們會定期更新這些規則的機器學習模型,以改善機器人預測。如果您注意到這些規則對機器人預測的突然和重大變更,請聯絡您的客戶經理或在 AWS 支援 Center 規則動作:
標籤: |
TGT_TokenReuseIpLow,
TGT_TokenReuseIpMedium,
TGT_TokenReuseIpHigh
|
檢查未來自已驗證機器人的請求,以在過去 5 分鐘內在多個 IPs 中使用單一字符。每個層級都有不同 IPs 的數量限制:
注意這些規則適用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:
標籤: |
TGT_TokenReuseCountryLow,
TGT_TokenReuseCountryMedium,
TGT_TokenReuseCountryHigh
|
檢查未來自已驗證機器人的請求,以在過去 5 分鐘內跨多個國家使用單一字符。每個層級都有不同國家/地區的數量限制:
注意這些規則適用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:
標籤: |
TGT_TokenReuseAsnLow,
TGT_TokenReuseAsnMedium,
TGT_TokenReuseAsnHigh
|
檢查未來自已驗證機器人的請求,以在過去 5 分鐘內跨多個聯網自主系統編號 (ASNs) 使用單一字符。每個層級都有不同 ASNs 的數量限制:
注意這些規則適用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:
標籤: |
