Web 应用防火墙支持通过自动化手段防御和检测恶意 Bot 行为,您无需配置具体的 Bot 检测特征,而是通过确认自动检测的结果来提高规则的有效性。本文介绍如何配置自动化 Bot 防护策略来抵御恶意 Bot 流量。
背景信息
Bot 流量是指在互联网上通过工具脚本、爬虫程序或模拟器等非人工手动操作的方式,对 Web 网站、APP 应用、API 接口进行访问的自动化程序流量,通常也被称为机器流量。
Bot 流量既有合法的,也有恶意的。合法流量包括搜索引擎、统计和广告程序等正常流量;而恶意流量则是通过利用 IDC 机房 IP、代理或秒拨 IP、伪造设备、手机群控等手段,来爬取信息数据、刷业务接口、薅活动羊毛、使用外挂作弊和漏洞检测利用等恶意攻击行为,给业务带来信息泄露、资源消耗或资金损失等风险和影响。
注意事项
Bot 管理功能当前仅面向高级版及以上规格开放。
配置 Bot 特征自动发现
Bot 特征自动发现功能开启后,WAF 会自动分析流量中不同源 IP 中相同字段的取值,用于发现自动化攻击行为。
操作步骤
登录 Web 应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略 > Bot 管理。
开启待防护域名的统计防护规则功能。
- 选择待防护域名。
说明
确认当前域名防护模式为启用防护,否则需要更改防护模式。
- 开启统计防护规则开关。
- 选择待防护域名。
单击查看。
单击编辑特征。
设置特征。
- 开启提取功能。
- 配置统计时间,默认为 15 秒。
- (可选)设置自定义字段和例外字段。
单击确定。
后续操作
WAF 将自定发现恶意 Bot 流量并且列出提出到的特征,您可以根据特征描述和命中 IP 判断请求行为是否为恶意 Bot 流量,以提高自动发现的准确性。
配置 Bot 行为地图
Bot 行为地图是指 WAF 基于域名维度,对已发现和已确认的 API 访问行为及对应流量进行智能跟踪和分析,并提供可视化队列图。您可以设置队列的默认处置动作,即为队列中的 API 请求行为执行观察、拦截、JS 挑战或人机验证动作。
操作步骤
登录 Web 应用防火墙控制台。
在顶部菜单栏选择实例所属地域。
在左侧导航选择防护策略 > Bot 管理。
开启待防护域名的行为地图功能。
- 选择待防护域名。
说明
确认当前域名防护模式为启用防护,否则需要更改防护模式。
- 开启行为地图开关。
- 选择待防护域名。
设置策略默认动作为 JS 挑战。
说明
JS 挑战是指通过 JS-SDK 验证客户端 JavaScript 执行能力,如果验证通过,则直接放行请求流量,否则拦截请求。
后续操作
根据行为地图命中或检出的异常规则,判断是否为恶意 Bot 流量。支持修改执行动作和拦截时间,您也可以根据相关请求的日志详情具体分析。