Praktik terbaik untuk mencegah serangan flood HTTP - Web Application Firewall

Topik ini menjelaskan jenis-jenis umum serangan flood HTTP dan cara mempertahankan diri dari serangan tersebut menggunakan kebijakan perlindungan yang disediakan oleh WAF.

Ikhtisar

Anda dapat menentukan kebijakan perlindungan berdasarkan tipe serangan.

Serangan Flood HTTP Volumetrik dan Laju Tinggi
Serangan dari Wilayah di Luar Tiongkok dan Cloud Publik
Paket yang Rusak
Penyalahgunaan API
Pemindaian Jahat
Serangan Aplikasi
Pengumpul Jahat

Serangan flood HTTP Volumetrik dan laju tinggi

Dalam serangan flood HTTP volumetrik, server zombie mengirimkan permintaan dengan frekuensi lebih tinggi daripada server normal. Untuk mencegah serangan semacam itu, langkah paling efektif adalah membatasi laju permintaan sumber. WAF menyediakan fungsi Rate Limiting untuk tujuan ini. Anda dapat mengonfigurasi fungsi ini dari halaman Custom Protection Policy. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Perlindungan Kustom.

Anda dapat mengonfigurasi aturan seperti yang ditunjukkan pada gambar berikut. Aturan ini memblokir semua alamat IP yang memulai lebih dari 1.000 permintaan dalam interval 30 detik ke jalur apa pun di bawah nama domain. Periode pemblokiran berlangsung selama 10 jam. Aturan ini digunakan untuk melindungi situs web kecil dan menengah. Rate limiting

Anda dapat memodifikasi jalur yang dilindungi, menyesuaikan ambang batas, dan memilih tindakan optimal untuk memenuhi kebutuhan perlindungan sebaik mungkin. Sebagai contoh, untuk mencegah stuffing kredensial pada titik akhir logon, Anda dapat mengatur Matching field menjadi URL dan Matching content menjadi /login.php, serta memblokir alamat IP yang mengirim lebih dari 20 permintaan untuk mengakses jalur tersebut dalam 60 detik. Example rate limiting

Perhatikan poin-poin berikut saat mengonfigurasi kebijakan perlindungan flood HTTP:

Captcha dan Strict Captcha dalam daftar drop-down Action bertujuan untuk memverifikasi apakah permintaan berasal dari manusia atau skrip otomatisasi. Anda dapat menggunakan dua tindakan ini untuk melindungi halaman web biasa dan HTML5, tetapi tidak aplikasi asli atau API. Untuk melindungi aplikasi asli dan API, atur Action menjadi block.
Anda dapat mengonfigurasi kebijakan daftar putih untuk API atau alamat IP yang mungkin secara keliru diblokir oleh perlindungan flood HTTP pada tab Access Control/Throttling. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Putih untuk Kontrol Akses/Pembatasan Kecepatan.
Jangan pilih mode Protection-emergency untuk aplikasi asli atau API di bagian HTTP Flood Protection.

Jika Anda telah membeli instance edisi Enterprise WAF, Anda dapat mengonfigurasi pembatasan laju menggunakan objek statistik kustom, alamat IP, dan sesi. Memblokir alamat IP dapat memengaruhi NAT. Anda dapat menggunakan cookie atau parameter yang mengidentifikasi pengguna sebagai objek statistik. Dalam contoh berikut, laju permintaan dihitung berdasarkan cookie yang digunakan untuk mengidentifikasi pengguna, dan Captcha digunakan untuk memverifikasi permintaan. Anggaplah format cookie adalah sebagai berikut: uid=12345. Cookie

Serangan dari wilayah di luar Tiongkok dan cloud publik

Sebagian besar serangan flood HTTP berasal dari wilayah di luar Tiongkok, pusat data lokal, dan cloud publik.

Jika situs web Anda menargetkan pengguna di dalam Tiongkok, Anda dapat memblokir permintaan dari wilayah di luar Tiongkok untuk mengurangi jenis serangan ini. WAF menyediakan fungsi Area-based IP Blacklist untuk tujuan ini. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Hitam 封禁区域

Jika Anda perlu memblokir alamat IP crawler dari pustaka IP umum, seperti blok CIDR dari Alibaba Cloud, Tencent Cloud, dan pusat data lokal, Anda dapat menggunakan fungsi Bot Threat Intelligence pada tab Bot Management.

Catatan Banyak crawler ditempatkan pada Instance ECS. Pengguna tidak mengakses layanan Anda menggunakan alamat IP sumber dari cloud publik atau pusat data lokal.

Contoh: Anda dapat menggunakan aturan intelijen ancaman bot berikut untuk memblokir akses dari alamat IP crawler Tencent Cloud. Untuk informasi lebih lanjut, lihat Konfigurasikan Aturan Intelijen Ancaman Bot. Bot threat intelligence rule for Tencent Cloud

Bot threat intelligence rule for Tencent Cloud

Paket yang rusak

Permintaan jahat dalam serangan flood HTTP dirancang khusus dan berisi paket yang rusak. Paket yang rusak memiliki fitur-fitur berikut:

String User-Agent abnormal atau rusak: memiliki karakteristik alat otomatisasi (seperti Python), dalam format yang salah (seperti Mozilla///), atau tidak mungkin digunakan dalam permintaan normal (seperti www.example.com). Jika string User-Agent abnormal atau rusak terdeteksi, blokir permintaan tersebut.
String User-Agent tidak biasa: Halaman HTML5 promosi yang menargetkan pengguna WeChat seharusnya diakses melalui WeChat. Ini tidak biasa jika string User-Agent menunjukkan bahwa permintaan dikirim dari browser desktop Windows, seperti Microsoft Internet Explorer 6.0. Jika string User-Agent tidak biasa terdeteksi, blokir permintaan tersebut.
Bidang referer abnormal: Jika permintaan tidak memiliki bidang referer atau memiliki bidang referer yang mengidentifikasi alamat situs web ilegal, blokir permintaan tersebut. Namun, ketika pengguna mengunjungi halaman utama Anda atau situs web Anda untuk pertama kalinya, permintaan mungkin tidak berisi bidang referer. Jika URL hanya dapat diakses menggunakan pengalihan, Anda dapat memutuskan apakah akan memblokir URL berdasarkan bidang referer.
Cookie abnormal: Sama seperti bidang referer, permintaan normal berisi cookie yang mengidentifikasi situs web yang diminta, kecuali ini adalah kunjungan pertama pengguna ke situs web Anda. Permintaan jahat dalam serangan flood HTTP biasanya tidak berisi informasi cookie apa pun. Anda dapat memblokir permintaan akses tanpa cookie.
Header HTTP hilang: Permintaan normal berisi header otorisasi sedangkan permintaan jahat tidak.
Metode permintaan salah: Jika API sebelumnya hanya menerima permintaan POST tetapi sekarang dibanjiri oleh permintaan GET, Anda dapat memblokir permintaan GET ini.

Anda dapat menganalisis fitur permintaan dan mengatur Jenis Perlindungan menjadi ACL dari halaman Custom Protection Policy untuk memblokir permintaan jahat. Untuk informasi lebih lanjut, lihat Konfigurasikan Kebijakan Perlindungan Kustom.

Contoh konfigurasi:

Contoh 1: Blokir permintaan yang tidak berisi cookie.
Contoh 2: Blokir permintaan yang tidak berisi header otorisasi.

Penyalahgunaan API

Kami merekomendasikan agar Anda menggunakan fungsi kontrol risiko data untuk melindungi API penting dari serangan. API ini mencakup API logon, pendaftaran, pemungutan suara, dan verifikasi SMS.

Kontrol risiko data menyuntikkan cuplikan JavaScript ke situs web Anda dan mengumpulkan informasi tentang perilaku pengguna dan variabel lingkungan untuk menentukan apakah permintaan berasal dari manusia atau skrip otomatisasi. Kontrol risiko data membuat keputusan berdasarkan CAPTCHA, bukan laju permintaan atau alamat IP sumber. Fungsi ini sangat efektif dalam mengurangi serangan frekuensi rendah.

Penting Kontrol risiko data memeriksa apakah permintaan berisi parameter autentikasi yang diperlukan oleh semua permintaan normal untuk mengidentifikasi permintaan jahat. Fungsi ini tidak cocok untuk lingkungan di mana JavaScript tidak didukung, seperti API dan aplikasi asli. Untuk mencegah positif palsu, kami merekomendasikan agar Anda menguji kontrol risiko data di Lingkungan Pengujian sebelum mengaktifkannya. Sebagai alternatif, Anda dapat menggunakan mode Pengamatan dan menghubungi insinyur sebelum mengaktifkan mode pencegahan.

Untuk informasi lebih lanjut, lihat Konfigurasikan Kontrol Risiko Data.

Pemindaian jahat

Sejumlah besar pemindaian jahat menimbulkan ancaman serius bagi kinerja server Anda. Selain pembatasan laju, Anda juga dapat menggunakan fungsi Scan Protection untuk meningkatkan keamanan. Perlindungan pemindaian mendukung pengaturan berikut:

Blocking IPs Initiating High-frequency Web Attacks: secara otomatis memblokir alamat IP klien yang memulai serangan web frekuensi tinggi.
Directory Traversal Prevention: secara otomatis memblokir alamat IP klien yang memulai beberapa serangan penelusuran direktori dalam periode waktu singkat.
Scanning Tool Blocking: secara otomatis memblokir permintaan akses dari alamat IP yang didefinisikan dalam alat pemindaian umum atau pustaka IP jahat Alibaba Cloud.
Collaborative Defense: secara otomatis memblokir permintaan akses dari alamat IP yang didefinisikan dalam pustaka IP jahat Alibaba Cloud.

Untuk informasi lebih lanjut, lihat Konfigurasikan Perlindungan Pemindaian.

Serangan aplikasi

Selain langkah-langkah sebelumnya, Anda juga dapat menggunakan SDK untuk meningkatkan perlindungan.

Setelah Anda mengintegrasikan SDK dengan aplikasi Anda, semua permintaan masuk diverifikasi sebelum dikirim ke server Anda. Informasi perangkat dan tanda tangan permintaan digabungkan untuk menentukan apakah permintaan berasal dari aplikasi sah. Permintaan yang tidak berasal dari aplikasi resmi secara otomatis diblokir. Ini memastikan bahwa hanya permintaan valid yang dilayani. Anda tidak perlu menganalisis pola permintaan tidak valid.

Untuk menggunakan SDK, Anda harus mengaktifkan App Protection. Untuk informasi lebih lanjut, lihat Konfigurasikan Perlindungan Aplikasi.

Pengumpul jahat

Untuk situs web informatif yang menawarkan layanan seperti laporan kredit, penyewaan apartemen, tiket pesawat, dan membaca e-book, pengumpul jahat dapat secara signifikan meningkatkan Penggunaan Bandwidth dan beban kerja server, bahkan menyebabkan kebocoran data. Jika langkah-langkah sebelumnya tidak dapat mencegah pengumpul jahat, kami merekomendasikan agar Anda mengaktifkan dan menggunakan fitur Bot Management untuk perlindungan yang lebih efektif. Untuk informasi lebih lanjut, lihat Konfigurasikan Daftar Putih untuk Manajemen Bot.