ボット管理は、自動化されたトラフィックを識別して対応します。 トラフィックを分類・処理するために、ESA のボット管理は、データ収集、検出エンジン、動的リスクスコアリング、検証チャレンジ、継続的な学習を使用します。
ボットトラフィックの識別
ESA のボット管理には、2 つのモードがあります。スマートモードは、AI ベースの意思決定を用いてボットトラフィックを識別します。プロフェッショナルモードでは、ホワイトリスト、ブラックリスト、リクエスト行動分析、リクエスト特徴分析などの識別ポリシーを設定できます。
AI ベースの意思決定
このモードでは、AI モデルと脅威インテリジェンスを用いてリクエストをリスクレベル別にスコアリングし、[検証済みボット]、[間違いなくボット]、または[ボットの可能性がある]に分類します。
各カテゴリに異なるアクションを適用します:
-
[検証済みボット]は、通常、SEO やサイトの可視性に貢献する検索エンジンのクローラーです。このトラフィックには許可アクションを設定します。
-
[間違いなくボット]として分類されるトラフィックには、通常、ウェブサイトを脅かす悪意のあるクローラーリクエストが含まれます。このトラフィックにはブロックアクションを設定します。
-
[ボットの可能性がある]の脅威レベルは、他の 2 つのカテゴリの中間に位置します。このトラフィックには正当なリクエストと悪意のあるリクエストが混在しているため、スライダー CAPTCHA を設定して自動化されたトラフィックをフィルタリングします。
ホワイトリスト
ホワイトリストは、信頼できるトラフィックや有益なクローラーがブロックされることなくコンテンツにアクセスできるようにするものです。
|
ポリシー |
ユースケース |
|
正当な検索エンジンホワイトリスト |
Google や Bing などの検索エンジンからのクローラーは、持続可能で無料のオーガニックトラフィックをもたらし、コンテンツサイトや商用サイトにとって重要です。 ESA のボット管理では、特定の検索エンジンクローラーを許可し、すべてのボット管理チェックをバイパスさせることができます。 |
|
IP ホワイトリスト |
既知の安全なリクエストのソース IP アドレスをIP ホワイトリストに追加すると、ボット保護がバイパスされます。 |
ブラックリスト
ブラックリストは、世界的に認識されている悪意のあるボットをブロックします。ブラックリストに一致するリクエストは、直ちに悪意のあるものとしてマークされます。また、安全でない、または悪意のあるインフラストラクチャからのトラフィックを事前にブロックするためにも使用できます。
|
ポリシー |
ユースケース |
|
IDC ブラックリスト |
ユーザーが通常パブリッククラウドや IDC から接続しない場合は、すべての IDC リクエストをブロックしてリスクを軽減します。決済ゲートウェイのコールバックや監視サービスなど、IDC からの既知の正当なサービスはホワイトリストに登録してください。 |
|
ボット脅威インテリジェンスライブラリ |
既知の悪意のあるクロール活動がある IP アドレスからのリクエストをブロックします。このライブラリは Alibaba Cloud が維持しており、プラットフォーム全体のデータを使用して継続的に更新されます。 |
リクエストの特性によるボットの識別
この方法は、HTTP/HTTPS リクエストのヘッダー、プロトコルの整合性、TLS フィンガープリントなどの静的なプロパティを分析して、非標準の動作パターンを識別します。
|
ポリシー |
ユースケース |
|
JavaScript チャレンジ |
クライアントに JavaScript の実行を要求して検証します。JavaScript を実行できないブラウザ以外のツールからのリクエストは悪意のあるものと見なされ、ブロックされます。 |
|
動的トークンチャレンジ |
クライアントリクエストごとに、ESA はタイムスタンプ、ユーザーの挙動、IP アドレスなどのリクエストコンテキストに基づいて、動的なワンタイム暗号化トークンを生成します。ESA は、改ざんを防ぐためにこのトークンに暗号署名します。有効にすると、ESA は各リクエストを署名と照合して検証し、検証に失敗したリクエストをブロックします。 |
リクエストの挙動によるボットの識別
トラフィックの挙動識別は、リクエストパターンを分析して、人間のユーザーと自動化されたスクリプトを区別します。
ボットトラフィックの処理
基本保護ポリシー
|
ポリシー |
ユースケース |
|
許可 |
検索エンジンのクローラーやパートナー API コールなど、既知の正当なボットトラフィックへのアクセスを許可します。 |
|
ブロック |
DDoS 攻撃や脆弱性スキャンに使用されるような、明らかに悪意のあるボットをブロックします。確実なボットとして識別されたトラフィックにこれを使用します。 |
|
監視 |
疑わしいトラフィックをブロックせずに監視してログに記録し、さらなる分析を可能にします。 |
|
スライダー CAPTCHA |
スライダーやクリックベースのチャレンジなど、人間とコンピューターを区別するための検証テストを使用して、人間と自動化されたスクリプトを区別します。 |
カスタムスロットリング
特定のボットリクエストを許可しつつ、過剰なアクセスを防ぐには、 [カスタムスロットリング] を使用して、単一の IP またはセッションからのリクエストレートを制限します。レートがしきい値を超えると、保護アクションがトリガーされます。
カスタムスロットリングは、プロフェッショナルモードでのみ利用可能です。
設定例 1
-
要件:単一の IP アドレスからのリクエストを 1 分あたり最大 10 件に制限します。この制限を超えた場合、その IP を 1 時間ブロックします。または、同じ IP からのリクエストを 30 分あたり 100 件に制限します。この制限を超えた場合、次の 10 分間、スライダー CAPTCHA を発行します。
-
設定:以下の 2 つの条件を追加します。条件は OR ロジックで評価され、ルールごとに最大 3 つの条件を追加できます。
-
条件 1:統計間隔 を
60に、しきい値を10に、[アクション] をブロックに、スロットリング間隔 を3600に設定します。 -
条件 2:統計間隔 を
1800に、しきい値を100に、[アクション] をスライダー CAPTCHAに、スロットリング間隔 を600に設定します。

-
設定例 2
-
要件:
headerにapiを含むリクエストについて、アクセスレートを 10 分あたり最大 100 件に制限します。この制限を超えた場合、リクエストを 1 分間ブロックします。 -
設定: 統計間隔 は
600、しきい値は100、アクション はブロック、スロットリング間隔 は60です。
パラメーターの制限
カスタムスロットリングパラメーターの範囲:
|
パラメータータイプ |
範囲 |
|
統計間隔 |
5~1,800 (秒) |
|
しきい値 |
2~50,000 (回) |
|
アクション |
オプション:
|
|
スロットリング間隔 |
60~86,400 (秒) |