關鍵概念
恶意BOT:指以非法目的為主導,通過自動化手段對目標系統發起攻擊、竊取資料或執行惡意操作的自動化程式。
疑似BOT:指具備部分爬蟲特徵,但缺乏直接攻擊痕迹或明確意圖證據,需進一步驗證其訪問意圖的自動化程式。
友好BOT:指經允許並鼓勵訪問網站的自動化程式,通常用於搜尋引擎索引、網站健全狀態檢查及資料分析等合法用途。
Client ID:指用戶端(如瀏覽器或應用程式)標識。系統通過User-Agent資訊及流量指紋等特徵,識別HTTP請求的用戶端來源類型。
网页端UMID:指網頁用戶端的裝置唯一識別碼,用於輔助安全團隊識別異常流量。
APP端UMID:指APP用戶端的裝置唯一識別碼,用於輔助安全團隊識別異常流量。
JA3指纹:指對TLS握手過程中的關鍵參數(包括TLS版本、密碼套件、壓縮演算法及TLS擴充等)進行MD5雜湊處理後產生的字串。該指紋用於表示用戶端的TLS配置,可識別並區分Web瀏覽器、行動裝置 App程式及惡意軟體等不同類型的TLS用戶端。
JA4指纹:指在JA3指紋基礎上引入瀏覽器版本、作業系統等更多上下文資訊與演算法產生的指紋。該指紋有效降低了JA3指紋的重複性問題,能夠更準確地鑒別真實使用者與偽裝者,降低誤識率。
HTTP/2指纹:指對HTTP/2用戶端的原始指紋進行MD5演算法處理後產生的標識。該指紋用於分析和識別不同用戶端,以保障通訊的安全與高效。
若發現特定Client ID、網頁端UMID、APP端UMID、JA3指紋、JA4指紋或HTTP/2指紋的訪問數量異常,可通過配置Bot進階自訂規則對其實施封鎖。
操作步驟
-
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
說明未開通或未試用Bot管理時,可通過當前頁面的展示資訊初步評估機器流量趨勢。如需使用完整功能,請開通或申請試用Bot管理,具體操作請參見開通Bot管理。
流量分析頁面支援以下操作:
篩選與搜尋:頁面頂部提供時間、防護對象、Referer、網域名稱、RequestPath、攻擊IP及User-Agent等篩選條件。啟用進階搜尋模式時,系統僅返回同時滿足所有設定條件的記錄。
防護總覽:該地區展示惡意BOT、疑似BOT及友好BOT的趨勢圖。將滑鼠移至上方於趨勢圖任意時間點,可查看該時刻各類BOT的具體數量。
Top資料分析:頁面下方地區展示以下Top統計資訊。
功能項
說明
流量分类TOP IP
展示分別命中恶意BOT、疑似BOT和友好BOT數量排名前10的IP。
规则命中TOP IP
展示命中不同標籤規則數量排名前10的IP。
客户端类型TOP统计
展示Client ID、网页端UMID、APP端UMID及用戶端類型四種標識數量排名前10的統計情況。
流量指纹TOP统计
展示JA3指纹、JA4指纹、HTTP/2指纹三種指紋類型數量排名前10的統計情況。
请求头Top统计
展示Host、Path、Query參數、Referer四種要求標頭數量排名前10的統計情況。
防护对象TOP统计
展示請求次數前10的防護對象。