Cara mengonfigurasi kebijakan mitigasi kustom untuk mencegah penyalahgunaan traffic pada ESA - Edge Security Acceleration

Serangan berbahaya atau traffic penipuan pada domain Anda dapat menyebabkan lonjakan mendadak dalam penggunaan bandwidth dan traffic, yang berujung pada tagihan tinggi yang tidak dapat dihapus atau dikembalikan. Untuk mengurangi risiko ini, Anda dapat memblokir traffic tidak biasa menggunakan kontrol akses, perlindungan Web Application Firewall (WAF), dan metode lainnya.

Latar Belakang

Insiden traffic penipuan semakin umum seiring pesatnya pertumbuhan Internet. Penagihan Edge Security Acceleration (ESA) didasarkan pada jumlah traffic yang diunduh pengguna. Oleh karena itu, serangan berbahaya dapat menyebabkan biaya yang tidak terduga.

Langkah pencegahan

Tetapkan batas penggunaan

Anda dapat menetapkan batas penggunaan untuk mengelola lonjakan traffic tak terduga dan mencegah tagihan postpaid yang besar. Saat batas tercapai, aksi yang telah dikonfigurasi sebelumnya akan dipicu terhadap resource situs Anda. Evaluasi fitur ini secara hati-hati sebelum digunakan karena dapat memengaruhi kelangsungan layanan.

Di Konsol ESA, pilih Websites. Di kolom Website, klik situs target.
Di panel navigasi kiri, pilih Usage Cap.
Di halaman Usage Cap, klik Create Rule. Masukkan Rule Name, lalu tetapkan kondisi pencocokan dan Statistical Cycle.
- Every 5 Minutes: Periode statistik adalah jendela waktu 5 menit.
- Every Hour: Periode statistik adalah jendela waktu 1 jam.
- Every Day: Periode statistik adalah satu hari kalender, dari pukul 00:00 hingga 23:59 pada hari tersebut.
- Every Month: Periode statistik adalah satu bulan kalender (dari hari pertama hingga hari terakhir bulan berjalan).
Pilih aksi lalu klik OK.
- Disable Website: Jika traffic mencapai ambang batas yang dikonfigurasi, situs akan dinonaktifkan dan statusnya berubah menjadi suspended. Akibatnya, layanan percepatan, keamanan, dan komputasi menjadi tidak tersedia. Aksi ini memengaruhi bisnis online Anda dan harus digunakan dengan hati-hati. Untuk memastikan situs berjalan sesuai harapan, tetapkan ambang batas yang lebih tinggi daripada penggunaan yang direncanakan.
- Delete DNS Records: Jika traffic mencapai ambang batas yang dikonfigurasi, aksi ini akan menghapus catatan subdomain tertentu. Pilih opsi ini jika Anda ingin menghindari pemadaman total situs.
  Peringatan
  Menghapus catatan subdomain bersifat permanen. Sistem tidak dapat memulihkan catatan yang telah dihapus. Anda harus menambahkan kembali catatan beserta konfigurasinya secara manual. Gunakan fitur ini dengan hati-hati.

Aktifkan pengiriman log waktu nyata

Pengiriman log waktu nyata mengirimkan log akses dari Titik kehadiran (POP) ESA ke sistem analisis Anda. Fitur ini membantu Anda mengidentifikasi aktivitas tidak biasa, seperti hotlinking, lonjakan traffic, dan akses tidak sah. Anda dapat melacak sumber traffic penipuan, misalnya alamat IP frekuensi tinggi atau Referer kosong, lalu menggunakan aturan pemblokiran atau pembatasan laju untuk segera menghentikan serangan. Hal ini secara signifikan dapat mengurangi penggunaan bandwidth dan risiko keamanan. Kami merekomendasikan mengaktifkan fitur real-time log. Tabel berikut menjelaskan cakupan permintaan yang direkam berdasarkan tipe log:

Log type	Dimension	Recorded content	Scenarios
Edge Routine Log	Account	Mencatat informasi permintaan yang dihasilkan dari pemanggilan fungsi edge ESA dalam akun saat ini.	Analisis dan optimasi bisnis
Edge Container Log	Account	Mencatat log bisnis yang dihasilkan oleh kontainer edge dalam akun saat ini.	Pemantauan performa Analisis perilaku pengguna Audit dan kepatuhan
Access and Origin Log	Website	Mencatat informasi permintaan detail yang dihasilkan ketika pengguna mengakses website atau layanan yang dipercepat oleh ESA, serta informasi detail yang dihasilkan ketika node ESA melakukan akses kembali-ke-asal.	Analisis perilaku pengguna Analisis dan optimasi bisnis Audit dan kepatuhan
Firewall Log		Mencatat detail semua permintaan berbahaya yang terdeteksi dan diblokir oleh Web Application Firewall (WAF) ESA.	Pemantauan keamanan Analisis dan optimasi bisnis Audit dan kepatuhan
TCP/UDP Proxy Log		Mencatat detail konten yang ditransmisikan melalui fitur percepatan lapisan transport ESA.	Pemantauan performa Analisis dan optimasi bisnis
DNS Logs		Mencatat informasi permintaan detail untuk resolusi nama domain DNS yang dipercepat oleh ESA.	Audit dan kepatuhan Perubahan resolusi DNS

Skenario aktivitas penipuan

Traffic penipuan melibatkan berbagai jenis permintaan berbahaya. Tabel berikut menjelaskan metode serangan berbahaya umum dan langkah penanggulangannya:

Attack type	Mechanism	Characteristics	Countermeasures
User-Agent spoofing attack	Penyerang mengirim banyak permintaan dengan bidang `User-Agent` yang dipalsukan untuk melewati pemeriksaan keamanan.	`User-Agent` yang dipalsukan biasanya memiliki salah satu karakteristik berikut: Nilai kosong. String acak. String palsu yang meniru permintaan browser umum.	Anda dapat mengonfigurasi daftar putih atau blacklist `User-Agent` untuk menolak permintaan yang memiliki header `User-Agent` tidak normal. Misalnya, Anda dapat menolak permintaan yang memiliki `User-Agent` kosong atau string acak yang tidak standar.
Referer spoofing attack	Penyerang memalsukan bidang `Referer` dalam header permintaan untuk menyamar sebagai sumber sah dan mengirim permintaan berbahaya.	URL dalam header `Referer` tidak memiliki hubungan logis dengan resource yang diminta, atau `Referer` tidak konsisten dengan `User-Agent`.	Anda dapat mengonfigurasi Daftar putih Referer untuk mengizinkan permintaan dengan header `Referer` sah dan menolak permintaan dengan header `Referer` berbahaya. Misalnya, Anda hanya mengizinkan akses dari header `Referer` yang berasal dari domain Anda sendiri.
Frequent requests for the same resource	Penyerang berulang kali meminta resource yang sama, seperti operasi API, dalam periode singkat. Hal ini dapat menyebabkan beban server tinggi, konsumsi resource, dan peningkatan biaya.	Permintaan frekuensi tinggi berasal dari alamat IP yang sama atau sejumlah kecil alamat IP.	Anda dapat mengonfigurasi kebijakan pembatasan laju untuk mengontrol jumlah permintaan dari alamat IP atau pengguna yang sama dalam periode tertentu. Misalnya, Anda dapat mengizinkan maksimal 10 permintaan per detik dari satu alamat IP. Anda dapat mengonfigurasi blacklist dan daftar putih IP untuk membatasi akses berdasarkan IP sumber. Tambahkan alamat IP serangan yang diketahui ke blacklist dan alamat IP tepercaya ke daftar putih.
Malicious bots and scraping	Penyerang menggunakan alat bot berbahaya untuk mengambil sejumlah besar konten website.	Permintaan dikirim dengan frekuensi tinggi untuk resource yang sama atau mengikuti pola tetap.	Anda dapat menggunakan fitur Bot Protection dari ESA untuk mendeteksi dan memblokir permintaan tidak normal serta bot berbahaya. Fitur ini menganalisis karakteristik permintaan, seperti frekuensi dan pola, untuk secara otomatis mengidentifikasi dan menghentikan perilaku berbahaya.

Pemecahan masalah

ESA menyediakan fitur pengumpulan dan analisis log. Anda dapat menggunakan fitur seperti Traffic Analysis dan Standard Log untuk menganalisis data dari periode lonjakan traffic mendadak. Anda kemudian dapat memilih kebijakan mitigasi yang sesuai berdasarkan jenis anomali.

Analisis traffic

Data analisis traffic berasal dari log akses yang diproses oleh ESA. Log ini mencatat setiap permintaan yang melewati Titik kehadiran (POP) ESA. Log ini mencakup informasi seperti alamat IP klien, waktu permintaan, tipe permintaan, dan status respons. Dengan merangkum dan menganalisis log ini, ESA dapat memberikan statistik traffic dan laporan analisis yang akurat.

Lihat dan unduh laporan

Di Konsol ESA, pilih Websites. Di kolom Website, klik situs target.
Di panel navigasi kiri, pilih Analytics and Logs > Traffic Analytics.
Di halaman Traffic Analytics, Anda dapat melihat statistik dan analisis traffic. Klik ikon untuk mencetak laporan halaman atau klik ikon untuk mengunduh data sebagai file CSV. Anda dapat menggunakan filter untuk menyaring data. Untuk filter waktu, pilih Custom Time Range dan pilih tanggal serta waktu traffic penipuan yang dicurigai.
Di halaman Traffic Analysis, Anda dapat melihat grafik garis traffic total dan traffic respons ESA. Ini memberikan visualisasi lalu lintas yang jelas untuk membantu Anda menganalisis tren traffic historis.
- Total Traffic: Seluruh traffic yang ditransmisikan dari ESA ke klien.
- Total Requests: Semua permintaan yang diterima oleh ESA dari klien.
- Page Views: Jumlah respons HTTP sukses dengan tipe konten HTML.
- Metric change percentage: Persentase perubahan untuk setiap metrik data merupakan nilai periode-per-periode. Ini membandingkan rentang waktu saat ini dengan rentang waktu identik sebelumnya. Jika tidak ada data untuk periode sebelumnya, laju perubahan tidak ditampilkan.
  Misalnya, jika Anda memilih 30 hari terakhir dan jumlah permintaan menunjukkan peningkatan 2,03%, artinya jumlah permintaan yang diterima server ESA dalam 30 hari terakhir meningkat 2,03% dibandingkan periode 60 hingga 30 hari lalu.
Anda dapat menggunakan modul ini untuk memahami distribusi geografis traffic Anda secara detail dan melihat wilayah yang memiliki traffic tidak biasa.

Fitur analisis traffic menyediakan analisis multidimensi terhadap traffic dan perilaku pengguna. Modul-modul ini memberikan ikhtisar traffic yang komprehensif dan wawasan tentang perilaku pengguna. Anda dapat memilih rentang waktu yang sesuai dan melihat data detail serta visualisasi untuk dimensi-dimensi ini.
Catatan
Secara default, analisis traffic menampilkan 5 entri data teratas. Anda dapat mengklik More untuk melihat lebih banyak item.

Analisis log standar

Untuk mengungkap karakteristik permintaan penipuan, Anda dapat melakukan analisis mendalam terhadap log standar dari periode peringatan. Gunakan analisis silang multi-bidang untuk membangun profil perilaku penipuan berdasarkan dimensi seperti IP sumber, jalur URL, parameter permintaan, User-Agent, dan Referer. Hal ini menyediakan data yang diperlukan untuk membuat strategi respons yang tepat.

Unduh standard logs.
Unggah file log ke server Linux lokal.
Login ke server Linux lokal dan hitung jumlah baris dalam file untuk menentukan total jumlah permintaan.
```
wc -l [$Log_Txt]
```
Anda juga dapat menghitung jumlah permintaan per jam.
```
awk -F' ' '{print \$4}' [$Log_File] | sed 's/^\[$.*\/.*\/.*$:$.*$:.*$/\1 \2:00/' | sort | uniq -c | sort -nr | head -n 10
```
Setelah menghitung total permintaan, Anda dapat memastikan apakah volume permintaan tersebut tidak normal.
Penting
Konfigurasi berikut didasarkan pada permintaan layanan nyata. Lakukan dengan hati-hati agar tidak memengaruhi pengguna normal Anda.
Jalankan perintah berikut untuk menanyakan 10 alamat IP teratas berdasarkan volume akses.
```
cat [$Log_File] | awk '{print $3}' |sort|uniq -c|sort -nr |head -10
```
Anda kemudian dapat membatasi akses dari alamat IP yang mencurigakan. Untuk informasi lebih lanjut, lihat IP access rules.
Jalankan perintah berikut untuk menanyakan 10 User-Agent teratas berdasarkan volume akses.
```
 grep -o '"Mozilla[^"]*' [$Log_Txt] | cut -d'"' -f2 | sed 's/ ANCHASHI-SCAN[^)]*)//g' | sort | uniq -c | sort -nr | head -n 10
```
Anda kemudian dapat memfilter User-Agent yang mencurigakan. Untuk informasi lebih lanjut, lihat Custom rules.
Jalankan perintah berikut untuk menanyakan 10 jalur teratas berdasarkan volume akses.
```
grep -oP '"https?://[^"]+"' [$Log_File] | sort | uniq -c | sort -nr | head -n 10
```

Langkah penanggulangan

Saat Anda yakin mengenai sumber serangan, tetapkan langkah penanggulangan berdasarkan karakteristik serangan. Jika analisis mengungkapkan beberapa karakteristik serangan, Anda dapat mengonfigurasi beberapa kebijakan mitigasi secara bersamaan untuk mencapai perlindungan komprehensif.

Konfigurasi aturan WAF untuk memblokir permintaan berbahaya

ESA terintegrasi dengan Web Application Firewall (WAF) untuk memberikan perlindungan di Titik kehadiran (POP) ESA. WAF dapat mengidentifikasi karakteristik berbahaya dalam lalu lintas layanan Anda dan hanya meneruskan traffic normal dan aman ke server origin Anda. Hal ini membantu mencegah intrusi berbahaya ke server web Anda, melindungi data bisnis inti Anda, dan menyelesaikan masalah performa server yang disebabkan oleh serangan berbahaya.

Di Konsol ESA, pilih Websites. Di kolom Website, klik situs target.
Di panel navigasi kiri, pilih Security > WAF.
Di tab Overview, di area Smart Rate Limiting, klik Configure. Aktifkan sakelar Status dan pilih Protection Level serta Action yang sesuai.
Di tab Overview, di area Abuse Prevention, klik Configure. Aktifkan sakelar Status dan pilih Action yang sesuai.

Jika mengaktifkan intelligent rate limiting dan abuse prevention tidak memenuhi kebutuhan bisnis Anda, Anda dapat mengonfigurasi kebijakan mitigasi kustom.

Batasi jumlah permintaan

Untuk informasi lebih lanjut tentang cara mengonfigurasi kebijakan aturan, lihat Rate limiting rules.

Asumsikan peningkatan mendadak dalam akses operasi API memicu peringatan pemantauan. Saat Anda melihat log waktu nyata, Anda menemukan bahwa selama serangan, satu alamat IP mengakses operasi API lebih dari 3.000 kali dalam 60 detik. Selama periode non-serangan, satu alamat IP mengakses operasi API maksimal 100 kali dalam 60 detik. Dalam skenario ini, Anda dapat mengonfigurasi kebijakan mitigasi CC dengan batas frekuensi dua hingga tiga kali frekuensi akses normal.

Catatan

Anda dapat melihat log waktu nyata untuk menemukan resource yang diserang. Bandingkan frekuensi akses selama periode serangan dengan periode non-serangan. Jika terdapat perbedaan signifikan, Anda dapat mengonfigurasi kebijakan mitigasi ini.
Dalam skenario bisnis normal, server dapat memanggil resource melalui operasi API yang menghadap Internet. Jika alamat IP internal diakses secara frekuen, tambahkan kondisi pencocokan untuk mengecualikan alamat IP tersebut dari perhitungan.
Anda dapat menyesuaikan jalur perlindungan dan ambang batas pemicu berdasarkan kebutuhan bisnis Anda dan frekuensi akses penyerang yang ditemukan dalam log waktu nyata. Berikut contoh konfigurasinya.

Configuration item	Example value	Description
Rule Name	Nama kustom untuk aturan. Nama harus memenuhi persyaratan berikut: Dapat berisi karakter Tionghoa, huruf (tidak peka huruf besar/kecil), angka (0–9), dan garis bawah (`_`). Panjang maksimal 64 karakter.	/
If requests match...	URI contains `/your_path`	Menyaring permintaan yang jalur resourcenya cocok dengan `/your_path`.
With the same characteristics...	Client IP	Menunjukkan alamat IP klien yang sama.
When the rate exceeds...	Rate: 300 kali/1 menit	Jika alamat IP klien memenuhi kondisi pencocokan lebih dari 300 kali dalam 1 menit, aksi blacklist dipicu untuk alamat IP tersebut.
Then execute...	Apply to Matched Requests, dengan Duration 1 Hour	Objek yang memenuhi kondisi deteksi frekuensi ditambahkan ke blacklist. Selama 3600 detik, semua permintaan dari objek ini diblokir.

Blokir permintaan tidak normal

Untuk informasi lebih lanjut tentang cara mengonfigurasi kebijakan aturan, lihat Custom rules.

Catatan

Jangan gunakan kebijakan ini untuk skenario aplikasi di mana User-Agent normal bernilai kosong.
Jika nilai User-Agent adalah nama aplikasi, tambahkan nama aplikasi bisnis normal Anda ke kondisi pencocokan.

Configuration item	Example value	Description
Rule Name	Nama kustom untuk aturan. Nama harus memenuhi persyaratan berikut: Dapat berisi karakter Tionghoa, huruf (tidak peka huruf besar/kecil), angka (0–9), dan garis bawah (_). Panjang maksimal 64 karakter.	Jika User-Agent permintaan tidak mengandung `Android,iPhone,iPad,Mac,Windows,Linux`, permintaan tersebut diblokir.
Match Condition	Untuk Match Field, pilih User-Agent. Untuk Logical Operator, pilih Does Not Equal Any Of. Untuk Match Content, masukkan `Android,iPhone,iPad,Mac,Windows,Linux`.
Then Execute...	Untuk Action, pilih Block. Untuk Response Page, pilih Default Block Page. Untuk Status Code, pilih 403.

Blokir alamat IP tidak normal

Untuk informasi lebih lanjut tentang cara mengonfigurasi kebijakan aturan, lihat IP access rules.

Pemblokiran bot

Untuk informasi lebih lanjut tentang cara mengonfigurasi kebijakan aturan, lihat Quick start. Aktifkan item perlindungan yang relevan sesuai kebutuhan.

Kasus penggunaan perlindungan

Unduhan paket instalasi game yang disalahgunakan

Latar Belakang

Seorang pengguna ESA dari industri game menjalankan gamenya secara stabil selama dua tahun. Baru-baru ini, pelanggan mulai menerima tagihan tinggi untuk ESA.

Deteksi masalah

Dengan memantau traffic dan menganalisis log menggunakan tugas pengiriman log waktu nyata, pelanggan menemukan beberapa insiden permintaan frekuensi tinggi untuk mengunduh paket instalasi. Unduhan PC mencapai 310.000 dan unduhan Android mencapai 18.000 dalam satu jam.

Catatan

Setelah Anda mengaktifkan pengiriman log waktu nyata dan log berhasil dikirimkan, Anda akan ditagih berdasarkan jumlah entri log yang dikirimkan.

Saat menganalisis permintaan untuk mengunduh paket Android, pelanggan menemukan bahwa User-Agent dalam permintaan tidak normal menunjukkan perangkat PC, bukan perangkat Android.

Berdasarkan kebiasaan pengguna tipikal, sebagian besar pengguna mengunduh paket APK langsung ke ponsel mereka. Sangat jarang pengguna mengunduh paket ke PC lalu mentransfer file ke ponsel menggunakan kabel USB. Oleh karena itu, User-Agent menunjukkan bahwa unduhan tersebut dihasilkan oleh penyerang.

Analisis terhadap frekuensi permintaan dan resource yang diminta menunjukkan bahwa traffic tersebut jelas tidak normal. Satu alamat IP melakukan lebih dari 300 permintaan per menit untuk paket APK dan lebih dari 5.100 permintaan per menit untuk paket .exe.

Solusi

Anda dapat menggunakan metode kontrol akses untuk mengidentifikasi pengguna dan melindungi terhadap unduhan resource frekuensi tinggi.

Pemblokiran IP: Anda dapat membuat aturan blacklist untuk memblokir alamat IP teratas. Untuk informasi lebih lanjut, lihat IP access rules.
Kontrol frekuensi resource: Anda dapat membuat aturan baru untuk membatasi jumlah permintaan dari alamat IP yang sama untuk resource dengan akhiran .exe atau .apk hingga ambang batas 20 kali per 60 detik. Untuk informasi lebih lanjut, lihat Rate limiting rules.
Pencegahan bot: Dalam aturan tersebut, Anda dapat mengaktifkan pustaka intelijen ancaman bot dan Slider CAPTCHA. Untuk informasi lebih lanjut, lihat Bots Quick start.

Resource website dicuri

Latar Belakang

Website pelanggan e-commerce ESA berjalan stabil. Baru-baru ini, pelanggan menemukan bahwa konten citra dari situs mereka dicuri oleh website lain melalui permintaan frekuensi tinggi dalam periode singkat.

Deteksi masalah

Dengan memantau traffic dan menganalisis log menggunakan tugas pengiriman log waktu nyata, pelanggan menemukan informasi Referer yang dipalsukan dalam log.

Menggunakan kueri SQL pada refer_domain, pelanggan menemukan lebih dari 10.000 permintaan akses hanya dalam waktu lebih dari 10 menit.

Analisis terhadap refer_domain menunjukkan bahwa refer_domain tidak sesuai dengan domain, yang mengindikasikan pencurian resource. Selain itu, kueri SQL terhadap volume akses menunjukkan bahwa ini bukan hanya pencurian resource, tetapi juga serangan berbahaya.

Solusi

Anda dapat menggunakan aturan kustom untuk memblokir permintaan di mana domain dan refer_domain tidak cocok.