什么是 DoS 攻擊?拒絕服務(wù)攻擊(DoS 攻擊)或分布式拒絕服務(wù)攻擊(DDoS 攻擊)使目標(biāo)用戶無法使用受害者的資源,或阻礙目標(biāo)用戶與受害站點(diǎn)之間的通信媒體,以便他們可以不再充分溝通。DoS 攻擊的實(shí)施者通常以網(wǎng)站或服務(wù)為目標(biāo),例如銀行、信用卡支付網(wǎng)關(guān)和電子商務(wù)網(wǎng)站。
Application Security Manager? (ASM) 有助于保護(hù) Web 應(yīng)用程序免受針對用于為應(yīng)用程序提供服務(wù)的資源的 DoS 攻擊:Web 服務(wù)器、Web 框架和應(yīng)用程序邏輯。Advanced Firewall Manager? (AFM) 有助于防止網(wǎng)絡(luò)、SIP 和 DNS DoS 和 DDoS 攻擊。
HTTP-GET 攻擊和頁面泛洪攻擊是應(yīng)用 DoS 攻擊的典型例子。這些攻擊是從單個用戶(單個 IP 地址)或從數(shù)千臺計算機(jī)(分布式 DoS 攻擊)發(fā)起的,這會使目標(biāo)系統(tǒng)不堪重負(fù)。在頁面泛洪攻擊中,攻擊者會下載頁面上的所有資源(圖像、腳本等),而 HTTP-GET 泛洪會重復(fù)請求特定的 URL,而不管它們在應(yīng)用程序中的位置。
關(guān)于識別 DoS 攻擊
Application Security Manager? 根據(jù)客戶端(基于 TPS)的交易率或服務(wù)器端(基于壓力)的延遲計算確定流量是 DoS 攻擊。您可以指定希望系統(tǒng)使用的閾值,或者讓系統(tǒng)根據(jù)檢查流量模式自動檢測合理的閾值。
您還可以讓系統(tǒng)主動識別和防止網(wǎng)絡(luò)機(jī)器人的自動攻擊。此外,該系統(tǒng)還可以保護(hù) Web 應(yīng)用程序免受針對重 URL 的 DoS 攻擊。重 URL 保護(hù)意味著在 DoS 攻擊期間,系統(tǒng)會保護(hù)可能對服務(wù)器造成壓力的重 URL。
您可以在事件日志和 DoS 報告中查看系統(tǒng)檢測并記錄的 DoS 攻擊的詳細(xì)信息。您還可以在創(chuàng)建日志記錄配置文件時為 DoS 攻擊配置遠(yuǎn)程日志記錄支持。
何時使用不同的 DoS 保護(hù)
Application Security Manager? 提供了幾種不同類型的 DoS 保護(hù),您可以設(shè)置這些保護(hù)來保護(hù)應(yīng)用程序。此表描述了何時使用不同的保護(hù)最有利。您可以使用任何保護(hù)組合。
| DoS 保護(hù) | 何時使用 |
|---|---|
| 主動機(jī)器人防御 | 在破壞系統(tǒng)之前阻止 DoS 攻擊。提供強(qiáng)大的保護(hù)并在非人為流量到達(dá) ASM 之前阻止它。 |
| 機(jī)器人簽名 | 允許來自合法(良性)機(jī)器人的請求,并指示系統(tǒng)如何處理惡意機(jī)器人(您可以忽略、記錄或阻止它們)。記錄惡意機(jī)器人使它們在報告中可見。 |
| 基于 TPS 的檢測 | 將保護(hù)重點(diǎn)放在客戶端以立即檢測攻擊,主要是通過查看每秒請求閾值。 |
| 基于壓力的檢測 | 將保護(hù)重點(diǎn)放在發(fā)生服務(wù)器減速時檢測到攻擊的服務(wù)器端。此保護(hù)基于延遲和每秒請求閾值提供更準(zhǔn)確的 DoS 檢測。 |
| 行為檢測 | 使用流量的行為分析和機(jī)器學(xué)習(xí)來自動發(fā)現(xiàn)和緩解 DoS 攻擊。 |
| 重度 URL 保護(hù) | 如果應(yīng)用程序用戶可以查詢數(shù)據(jù)庫或提交可能會減慢系統(tǒng)速度的復(fù)雜查詢。 |
| 驗證碼挑戰(zhàn) | 通過向可疑用戶提出字符識別挑戰(zhàn)來阻止非人類攻擊者。 |
關(guān)于主動機(jī)器人防御
Application Security Manager? (ASM) 可以主動保護(hù)您的應(yīng)用程序免受網(wǎng)絡(luò)機(jī)器人(簡稱機(jī)器人)的自動攻擊。這種防御方法稱為主動僵尸防御,可以防止啟動第 7 層 DoS 攻擊、網(wǎng)絡(luò)抓取和暴力攻擊。通過阻止機(jī)器人訪問網(wǎng)站,主動機(jī)器人防御也可以防止這些攻擊。
與其他 DoS 保護(hù)一起使用,主動機(jī)器人防御有助于在攻擊對站點(diǎn)造成損害之前識別和緩解攻擊。此功能檢查大多數(shù)流量,但比傳統(tǒng)的網(wǎng)絡(luò)抓取和蠻力保護(hù)需要更少的資源。除了 ASM 安全策略中提供的 Web 抓取和蠻力保護(hù)之外,您還可以使用主動機(jī)器人防御。主動機(jī)器人防御通過 DoS 配置文件強(qiáng)制執(zhí)行,不需要安全策略。
當(dāng)客戶端第一次訪問受保護(hù)的網(wǎng)站時,系統(tǒng)會向瀏覽器發(fā)送 JavaScript 質(zhì)詢。因此,如果您打算使用此功能,請務(wù)必讓客戶端使用允許 JavaScript 的瀏覽器。
如果客戶端成功評估挑戰(zhàn)并使用有效的 cookie 重新發(fā)送請求,則系統(tǒng)允許客戶端訪問服務(wù)器。不回答質(zhì)詢的請求仍然沒有回答,也不會發(fā)送到服務(wù)器。發(fā)送到?jīng)]有 cookie 的非 HTML URL 的請求將被丟棄并被視為機(jī)器人。
您可以配置 URL 列表以認(rèn)為安全,以便系統(tǒng)不需要驗證它們。這加快了訪問網(wǎng)站的時間。如果您的應(yīng)用程序訪問許多跨域資源并且您擁有這些域的列表,您可能需要選擇一個選項來驗證對這些域的跨域請求。
主動機(jī)器人防御和 CORS
跨域資源共享 (CORS)是網(wǎng)站可以允許來自其他來源的資源訪問您的站點(diǎn)(即域 + 協(xié)議 + 端口)的一種方式,例如在使用 AJAX、@font-face 和其他一些情況時. Proactive Bot Defense 甚至可以阻止合法用戶的 CORS 請求。CORS 請求被阻止是因為瀏覽器在允許跨域請求時通常不包含所需的 cookie,以防止攻擊者試圖訪問實(shí)時會話和來自其他域的敏感數(shù)據(jù)。
因此,如果您啟用主動機(jī)器人防御并且您的網(wǎng)站使用 CORS,我們建議您將 CORS URL 添加到主動機(jī)器人 URL 白名單。這些 URL 不會主動防御機(jī)器人,但不會被阻止,并且仍會受到其他啟用的 DoS 檢測和緩解措施的保護(hù)。
一種常見的跨域請求類型是當(dāng) HTML 頁面引用來自其他域的資源時,例如嵌入式圖像、樣式表 (CSS) 和 JavaScript。Proactive Bot Defense 支持這種類型的跨域請求,您可以在跨域請求設(shè)置中配置允許資源的特定域。
關(guān)于配置基于 TPS 的 DoS 保護(hù)
設(shè)置 DoS 保護(hù)時,您可以配置系統(tǒng)以防止基于事務(wù)速率的 DoS 攻擊(基于 TPS 的異常檢測)。如果您使用基于 TPS 的異常保護(hù),系統(tǒng)會使用以下計算檢測來自客戶端的 DoS 攻擊:
- 交易率檢測區(qū)間
- 每 10 秒更新一次的每秒最近請求的短期平均值(針對特定 URL 或來自 IP 地址)。
- 交易率歷史間隔
- 過去一小時計算的每秒請求數(shù)(針對特定 URL 或來自 IP 地址)的長期平均值,每 10 秒更新一次。
如果交易率檢測區(qū)間與歷史區(qū)間內(nèi)的交易率的比值大于TPS中設(shè)置的增加百分比,則系統(tǒng)認(rèn)為該網(wǎng)站受到攻擊,或URL、IP地址或地理位置懷疑。此外,如果事務(wù)率檢測間隔大于TPS 達(dá)到設(shè)置(無論歷史間隔如何),那么相應(yīng)的 URL、IP 地址或地理位置也是可疑的,或者該站點(diǎn)正在受到攻擊。
請注意,基于 TPS 的保護(hù)可能會檢測到 DoS 攻擊,這僅僅是因為許多用戶試圖同時訪問服務(wù)器,例如在繁忙時間或新產(chǎn)品推出時。在這種情況下,攻擊可能是誤報,因為用戶是合法的。但基于 TPS 的 DoS 保護(hù)的優(yōu)勢在于,可以比使用基于壓力的保護(hù)更早地檢測到攻擊。因此,在設(shè)置 DoS 保護(hù)時了解系統(tǒng)上的典型最大峰值負(fù)載并使用最適合您的應(yīng)用程序的方法非常重要。
關(guān)于配置基于壓力的 DoS 保護(hù)
在設(shè)置 DoS 保護(hù)時,可以配置系統(tǒng)以防止基于服務(wù)器端的 DoS 攻擊(基于壓力的檢測)。在基于壓力的檢測中,需要延遲增加和至少一個可疑的 IP 地址、URL、重 URL、站點(diǎn)范圍的條目或地理位置才能將活動視為攻擊。
基于壓力的 DoS 保護(hù)還包括行為 DoS。啟用后,系統(tǒng)會檢查流量行為以自動檢測 DoS 攻擊。行為 DoS 審查違規(guī)流量,并以最少的用戶干預(yù)緩解攻擊。
與基于 TPS 的保護(hù)相比,基于壓力的保護(hù)更不容易出現(xiàn)誤報,因為在 DoS 攻擊中,服務(wù)器正在達(dá)到容量極限并且服務(wù)/響應(yīng)時間很慢:這會影響所有用戶。增加的延遲可用作檢測 L7 攻擊的觸發(fā)步驟。在檢測到延遲顯著增加后,確定您是否需要采取進(jìn)一步措施非常重要。在檢查每秒請求的增加并將這些數(shù)字與過去的活動進(jìn)行比較后,您可以識別出可疑的延遲增加與正常延遲增加。
關(guān)于行為 DoS 保護(hù)
行為 DoS (BADoS)通過使用機(jī)器學(xué)習(xí)和數(shù)據(jù)分析分析流量行為來提供針對 DDoS 攻擊的自動保護(hù)。與其他 BIG-IP???DoS 保護(hù)一起使用,行為 DoS 檢查數(shù)據(jù)中心中客戶端和應(yīng)用程序服務(wù)器之間的流量,并自動為第 7 層 (HTTP) 和第 3 層和第 4 層建立基線流量/流量配置文件。
例如,在來自僵尸網(wǎng)絡(luò)的 DDoS 攻擊的情況下,每個請求可能是完全合法的,但同時許多請求可能會減慢或崩潰服務(wù)器。行為 DoS 可以通過減慢流量來減輕攻擊,但前提是保持服務(wù)器處于良好狀態(tài)。
行為 DoS 通過客戶反饋循環(huán)持續(xù)監(jiān)控服務(wù)器運(yùn)行狀況和負(fù)載,以確保實(shí)時關(guān)聯(lián),并驗證服務(wù)器狀況、攻擊和緩解措施。任何后續(xù)異常都會受到關(guān)注,系統(tǒng)會根據(jù)需要應(yīng)用緩解措施(減速或阻塞)。
這就是行為 DoS 的工作方式:
- 學(xué)習(xí)正常流量的典型行為
- 根據(jù)當(dāng)前條件(服務(wù)器運(yùn)行狀況)檢測攻擊
- 發(fā)現(xiàn)行為異常(什么和誰改變導(dǎo)致?lián)矶拢浚?/li>
- 通過減慢可疑客戶端的速度來緩解
- 隨著經(jīng)驗的提高
您可以在基于壓力的檢測設(shè)置的 DoS 配置文件中啟用行為 DoS,這需要最少的配置。由于系統(tǒng)正在跟蹤交通數(shù)據(jù),它會適應(yīng)不斷變化的條件,因此無需指定閾值。您可以設(shè)置希望發(fā)生的緩解級別,范圍從無緩解(僅限學(xué)習(xí))到積極保護(hù)(主動 DoS 保護(hù))。該系統(tǒng)可以快速檢測第 7 層 DoS 攻擊,表征違規(guī)流量并緩解攻擊。
您可以使用啟用了行為 DoS 的 DoS 配置文件來保護(hù)一個或最多兩個虛擬服務(wù)器。
關(guān)于 DoS 緩解方法
在設(shè)置基于事務(wù)或基于壓力的 DoS 保護(hù)時,您可以指定確定系統(tǒng)如何識別和處理 DoS 攻擊的緩解方法。您可以使用以下方法:
- JavaScript 挑戰(zhàn)(也稱為客戶端完整性防御)
- 驗證碼挑戰(zhàn)
- 請求阻塞(包括速率限制或全部阻塞)
您可以將系統(tǒng)配置為發(fā)出 JavaScript 質(zhì)詢,以在系統(tǒng)遇到可疑 IP 地址、URL、地理位置或站點(diǎn)范圍的標(biāo)準(zhǔn)時分析客戶端是否使用合法瀏覽器(可以響應(yīng)質(zhì)詢)。如果客戶端確實(shí)執(zhí)行 JavaScript 以響應(yīng)質(zhì)詢,系統(tǒng)會故意減慢交互速度。客戶端完整性防御緩解措施僅在操作模式設(shè)置為阻止時實(shí)施。
基于相同的可疑標(biāo)準(zhǔn),系統(tǒng)還可以發(fā)出 CAPTCHA(字符識別)質(zhì)詢,以確定客戶端是人類還是非法腳本。根據(jù)您希望實(shí)施 DoS 保護(hù)的嚴(yán)格程度,您可以限制允許通過服務(wù)器的請求數(shù)量或阻止被視為可疑的請求。
您還可以在 DoS 配置文件中使用可以使用請求阻止來指定系統(tǒng)何時阻止請求的條件。請注意,當(dāng)基于 TPS 或基于壓力的檢測的操作模式設(shè)置為阻止時,系統(tǒng)僅在 DoS 攻擊期間阻止請求。您可以使用請求阻止來限制或阻止來自可疑 IP 地址、可疑國家或疑似受到攻擊的 URL 的所有請求。站點(diǎn)范圍的速率限制還阻止對懷疑受到攻擊的網(wǎng)站的請求。如果您阻止所有請求,系統(tǒng)會阻止可疑 IP 地址和地理位置,但白名單上的除外。如果您使用速率限制,系統(tǒng)會根據(jù) DoS 配置文件中設(shè)置的閾值檢測標(biāo)準(zhǔn)阻止一些請求。
您選擇的緩解方法按照它們在屏幕上出現(xiàn)的順序使用。僅當(dāng)先前的方法無法阻止攻擊時,系統(tǒng)才會根據(jù)需要強(qiáng)制執(zhí)行這些方法。
關(guān)于地理定位緩解
您可以通過檢測來自發(fā)送可疑流量的國家/地區(qū)的流量來緩解基于地理位置的 DoS 攻擊。這是 DoS 配置文件中針對基于壓力和基于 TPS 的異常的緩解方法的一部分,此方法有助于防止異常活動,如下所示:
- 基于地理位置的客戶端完整性:如果來自國家/地區(qū)的流量與 DoS 配置文件中配置的閾值匹配,系統(tǒng)會認(rèn)為這些國家/地區(qū)可疑,并向每個可疑國家/地區(qū)發(fā)送 JavaScript 質(zhì)詢。
- 基于地理位置的 CAPTCHA 質(zhì)詢:如果來自國家/地區(qū)的流量與 DoS 配置文件中配置的閾值匹配,系統(tǒng)會認(rèn)為這些國家/地區(qū)可疑,并向每個可疑國家/地區(qū)發(fā)出 CAPTCHA 質(zhì)詢。
- 基于地理位置的請求阻止:系統(tǒng)阻止來自可疑國家的所有或部分請求。
此外,您可以將國家添加到地理位置白名單(來自這些國家的流量永遠(yuǎn)不會被阻止)和黑名單(來自這些國家的流量在檢測到 DoS 攻擊時總是被阻止)。
關(guān)于重 URL 保護(hù)
重型 URL是每個請求可能會消耗大量服務(wù)器資源的 URL。大多數(shù)情況下,重度 URL 以低延遲響應(yīng),但在特定條件下(例如 DoS 攻擊)很容易達(dá)到高延遲。重 URL 不一定總是很重,但往往會變得很重,尤其是在攻擊期間。因此,對這些 URL 的低速率請求可能會導(dǎo)致嚴(yán)重的 DoS 攻擊,并且難以與合法客戶端區(qū)分開來。
通常,繁重的 URL 涉及復(fù)雜的數(shù)據(jù)庫查詢;例如,檢索歷史股票報價。在大多數(shù)情況下,用戶以每周分辨率請求最近的報價,這些查詢很快就會產(chǎn)生響應(yīng)。但是,攻擊可能涉及請求逐日解析的五年報價,這需要檢索大量數(shù)據(jù),并消耗大量資源。
Application Security Manager? (ASM) 允許您在 DoS 配置文件中配置針對重型 URL 的保護(hù)。您可以為自動檢測繁重的 URL 指定延遲閾值。如果網(wǎng)站的某些 URL 可能成為重 URL,您可以手動添加它們,以便系統(tǒng)關(guān)注它們,并且您可以添加應(yīng)該被忽略且不被視為重的 URL。
ASM? 測量每個 URL 和整個站點(diǎn) 24 小時的尾部延遲,以獲得良好的請求行為樣本。如果一個 URL的平均尾部延遲是 24 小時內(nèi)站點(diǎn)延遲的兩倍以上,則該URL 被認(rèn)為是重度。
關(guān)于跨域請求
DoS 配置文件中的主動機(jī)器人防御允許您指定哪些跨域請求是合法的。跨域請求是對來自與發(fā)出請求的資源域不同的域的資源的 HTTP 請求。
如果您的應(yīng)用程序訪問許多跨域資源并且您擁有這些域的列表,則可以驗證對這些域的跨域請求。
例如,您的網(wǎng)站使用兩個域,site1.com(主站點(diǎn))和site2.com(存儲資源的地方)。您可以通過啟用主動機(jī)器人防御、為跨域請求設(shè)置選擇允許的已配置域選項之一并在相關(guān)站點(diǎn)域列表中指定這兩個網(wǎng)站,在 DoS 配置文件中進(jìn)行配置。當(dāng)瀏覽器向 發(fā)出請求時,它會同時獨(dú)立地獲取 cookie ,并且允許來自to的跨域請求。site1.comsite1.comsite2.comsite1.comsite2.com
如果 onlysite1.com配置為相關(guān)站點(diǎn)域,當(dāng)瀏覽器向 發(fā)出請求時site1.com,它會獲取site1.comonly 的 cookie。如果瀏覽器發(fā)出跨域請求以從 獲取圖像site2.com,它會獲取一個 cookie,并且只有當(dāng)它已經(jīng)有一個有效的site1.comcookie 時才被允許。
關(guān)于站點(diǎn)范圍的 DoS 緩解
為了緩解高度分布式的 DoS 攻擊,例如那些使用大規(guī)模僵尸網(wǎng)絡(luò)攻擊多個 URL 的攻擊,您可以在 DoS 配置文件中指定何時使用站點(diǎn)范圍的緩解。您可以為基于 TPS 或基于壓力的 DoS 保護(hù)配置站點(diǎn)范圍的緩解。在這種情況下,與特定 URL 或 IP 地址相比,整個站點(diǎn)都可能被視為可疑。當(dāng)系統(tǒng)確定整個站點(diǎn)正在經(jīng)歷高流量但無法查明和處理問題時,站點(diǎn)范圍的緩解措施就會生效。
系統(tǒng)實(shí)施站點(diǎn)范圍的緩解方法僅作為最后的手段,因為它可能導(dǎo)致系統(tǒng)丟棄合法請求。然而,它至少部分地保持了網(wǎng)站的可用性,即使它受到攻擊也是如此。當(dāng)系統(tǒng)應(yīng)用站點(diǎn)范圍的緩解時,這是因為所有其他主動檢測方法都無法阻止攻擊。
當(dāng)超過配置的閾值時,整個站點(diǎn)都被認(rèn)為是可疑的,同時,特定的 IP 地址和 URL 也可能被發(fā)現(xiàn)是可疑的。緩解一直持續(xù)到最長持續(xù)時間過去或整個站點(diǎn)不再可疑為止。即沒有可疑的URL,沒有可疑的IP地址,整個站點(diǎn)不再可疑。
關(guān)于 DoS 檢測中的 CAPTCHA 挑戰(zhàn)
CAPTCHA(或視覺字符識別)質(zhì)詢顯示字符供客戶識別,然后才能訪問網(wǎng)站或應(yīng)用程序。客戶端能否正確識別字符決定了客戶端是人還是可能是非法腳本。您可以將 CAPTCHA 質(zhì)詢配置為基于 TPS 的 DoS 檢測、基于壓力的 DoS 檢測的緩解策略的一部分,或作為主動機(jī)器人防御的一部分。如果您已配置它,系統(tǒng)會向可疑流量發(fā)起驗證碼挑戰(zhàn)。
系統(tǒng)提供客戶將看到的標(biāo)準(zhǔn)驗證碼響應(yīng)。如果需要,您可以自定義響應(yīng)。
關(guān)于 DoS 保護(hù)和 HTTP 緩存
HTTP 緩存使 BIG-IP??系統(tǒng)能夠?qū)㈩l繁請求的 Web 對象(或靜態(tài)內(nèi)容)存儲在內(nèi)存中,以節(jié)省帶寬并減少 Web 服務(wù)器上的流量負(fù)載。Web 加速配置文件具有配置緩存的設(shè)置。
如果您將 HTTP 緩存與 DoS 保護(hù)一起使用,您需要了解緩存內(nèi)容的 DoS 保護(hù)是如何工作的。在這種情況下,如果提供緩存內(nèi)容的 URL 超過按百分比增加的相對 TPS(而不是明確的TPS 達(dá)到數(shù)) ,則將其視為 DoS 攻擊。對靜態(tài)或可緩存 URL 的請求總是通過速率限制來緩解。即使在使用客戶端完整性或 CAPTCHA 進(jìn)行緩解期間,并且當(dāng)這些緩解不僅基于 URL 時也是如此。
概述:防止對應(yīng)用程序的 DoS 攻擊
您可以配置 Application Security Manager? 以防止對 Web 應(yīng)用程序的 DoS 攻擊。根據(jù)您的配置,系統(tǒng)會根據(jù)客戶端的每秒事務(wù)數(shù) (TPS)、基于壓力的服務(wù)器延遲、大量 URL、地理位置、可疑瀏覽器和失敗的驗證碼響應(yīng)來檢測 DoS 攻擊。行為 DoS (BADoS) 是基于壓力的檢測的一部分,使用行為數(shù)據(jù)自動發(fā)現(xiàn)和緩解 DoS 攻擊。
您可以通過創(chuàng)建啟用應(yīng)用程序安全的 DoS 配置文件來為第 7 層配置 DoS 保護(hù)。然后,您將 DoS 配置文件與代表您要保護(hù)的應(yīng)用程序的一個或多個虛擬服務(wù)器相關(guān)聯(lián)。DoS 保護(hù)是一種不屬于安全策略的系統(tǒng)保護(hù)。
制定預(yù)防政策的主要因素是:
- 攻擊者:發(fā)起實(shí)際攻擊的客戶端。它們由它們的 IP 地址和它們來自的地理位置表示。
- 服務(wù)器:受到攻擊的 Web 應(yīng)用程序服務(wù)器。您可以將它們視為虛擬服務(wù)器和 DoS 配置文件的配對、通過 URL 或作為池成員在站點(diǎn)范圍內(nèi)查看。
- BIG-IP 系統(tǒng):檢測攻擊和相關(guān)可疑實(shí)體的中間層,然后根據(jù)您在 DoS 配置文件中配置的選項緩解攻擊、阻止或丟棄請求。
任務(wù)摘要
為應(yīng)用程序配置 DoS 保護(hù)
創(chuàng)建 DoS 保護(hù)白名單
使用主動機(jī)器人防御
您可以配置 Application Security Manager? (ASM) 以在攻擊發(fā)生之前保護(hù)您的網(wǎng)站免受網(wǎng)絡(luò)機(jī)器人(簡稱bots)的攻擊。主動機(jī)器人防御檢查所有進(jìn)入網(wǎng)站的流量(白名單 URL 除外),而不僅僅是可疑流量。此 DoS 保護(hù)使用一組 JavaScript 評估和機(jī)器人簽名來確保訪問您網(wǎng)站的瀏覽器是合法的。
您現(xiàn)在已經(jīng)配置了主動機(jī)器人防御,可以防止 DDoS、Web 抓取和暴力攻擊(在使用此 DoS 配置文件的虛擬服務(wù)器上)。通過創(chuàng)建機(jī)器人防御日志配置文件,您可以在查看機(jī)器人防御事件日志。系統(tǒng)向首次訪問該站點(diǎn)的流量發(fā)送 JavaScript 質(zhì)詢。合法流量正確回答挑戰(zhàn),并使用有效 cookie 重新發(fā)送請求;然后它被允許訪問服務(wù)器。系統(tǒng)會丟棄瀏覽器發(fā)送的未回答系統(tǒng)初始 JavaScript 質(zhì)詢的請求(將這些請求視為機(jī)器人)。該系統(tǒng)還自動啟用機(jī)器人簽名并阻止已知惡意的機(jī)器人。
如果主動機(jī)器人檢測一直在運(yùn)行,ASM? 會在它們設(shè)法對系統(tǒng)發(fā)起攻擊并造成損害之前過濾掉它們。如果僅在攻擊期間使用主動 bot 防御,則一旦 ASM 檢測到 DoS 攻擊,系統(tǒng)就會在攻擊期間使用主動 bot 防御。
主動機(jī)器人防御與 TPS 和基于壓力的檢測中指定的主動緩解方法一起使用。任何未被主動緩解方法阻止的請求仍然必須通過主動機(jī)器人防御機(jī)制才能到達(dá)服務(wù)器(除非它在 ??URL 白名單上)。主動機(jī)器人防御阻止對不在 URL 白名單上的 CORS(跨源資源共享)URL 的請求。
配置機(jī)器人防御日志
配置機(jī)器人簽名檢查
如果您需要為您的應(yīng)用程序創(chuàng)建自定義機(jī)器人簽名和類別,您應(yīng)該在配置機(jī)器人簽名檢查之前執(zhí)行此操作。導(dǎo)航到。否則,您可以使用系統(tǒng)提供的機(jī)器人簽名和在同一位置列出的類別。由于此防御機(jī)制使用反向查找,因此您需要配置 DNS 服務(wù)器()和 DNS 解析器()才能工作。
