基本概念
恶意BOT:以非法目的為主導,通過自動化手段對目標系統發起攻擊、竊取資料或執行惡意操作的自動化程式。
疑似BOT:存在部分爬蟲表徵,但缺乏直接證據(如攻擊痕迹或明確意圖),需進一步驗證其意圖。
友好BOT:允許並鼓勵訪問網站的Bot,通常用於搜尋引擎索引、網站健全狀態檢查、資料分析等有益用途。
Client ID:用戶端(如瀏覽器或應用程式)標識,通過User Agent資訊和流量指紋等特徵來識別HTTP請求來源於哪種用戶端。
网页端UMID:網頁用戶端的裝置唯一識別碼,用於輔助安全團隊識別異常流量。
APP端UMID:APP用戶端的裝置唯一識別碼,用於輔助安全團隊識別異常流量。
JA3指纹:通過將TLS握手過程中的關鍵參數(包括TLS版本、密碼套件、壓縮演算法和TLS擴充等資訊)進行MD5雜湊處理,產生一個字串用來表示用戶端的TLS配置,該字串即JA3指紋。JA3指紋可以用於識別和區分不同類型的TLS用戶端,例如Web瀏覽器、行動裝置 App程式、惡意軟體等。
JA4指纹:JA4指紋通過引入更多的上下文資訊和演算法,例如瀏覽器的版本、作業系統等,減少了JA3指紋可能導致的重複性問題。JA4指紋能夠更準確地鑒別出真實的使用者與偽裝者,降低誤識率。
HTTP/2指纹:根據HTTP2用戶端的原始指紋,利用MD5演算法處理後產生的HTTP2.0指紋。用來分析和識別不同的用戶端,實現更安全和高效的通訊。
如果檢測到特定Client ID、網頁端UMID、APP端UMID、JA3指紋、JA4指紋或HTTP/2指紋的訪問數量異常時,可通過Bot進階自訂規則配置對其實施封鎖。
查看流量分析
在Bot管理-流量分析控制台上,如果沒有申請試用或購買Bot管理,可通過異常用戶端的關聯分析來初步判斷當前機器流量的走勢,如已試用或購買Bot管理,您可查看更詳細的機器流量資訊。
設定篩選條件
簡單搜尋(預設)
功能項 | 說明 |
日期範圍(圖①) | 預設展示今天的資料,可以查詢最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7 天和30 天內的資料。 |
自訂日期、時間搜尋範圍(圖②) | 可以根據實際需要選擇特定的時間段,以便更精準地查看流量分析資料。 |
防護對象(圖③) | 預設已選擇所有对象,表示查詢已接入WAF防護的所有對象的資料,也可以只查詢某個對象的資料。 |
設定過濾條件(圖④) | 可以設定Referer、網域名稱、RequestPath、攻擊IP和User-Agent。 |
進階搜尋
功能項 | 說明 |
日期範圍(圖①) | 預設展示今天的資料,可以查詢最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7 天和30 天內的資料。 |
自訂日期、時間搜尋範圍(圖②) | 可以根據實際需要選擇特定的時間段,以便更精準地查看流量分析資料。 |
設定過濾條件(圖③) | 支援設定防护对象、源IP、请求路径、User-Agent、域名、Referer作為過濾條件,最多可設定10條。如果定義了多個條件,則只有當多個條件同時滿足時,才算命中規則。 |
防護總覽
在防護總覽趨勢圖中,您可以查看惡意BOT、疑似BOT和友好BOT的走勢。預設展示全部防護對象的資料,也可以根據您設定的過濾條件動態重新整理。將滑鼠移至上方在趨勢圖的任意時間點上,可以顯示該時刻的惡意BOT、疑似BOT和友好BOT數量。
流量TOP分析
功能項 | 說明 |
流量分类TOP IP | 可查看命中恶意BOT、疑似BOT和友好BOT的前10個IP。 |
规则命中TOP IP | 可查看命中不同標籤的前10個IP。 |
客户端类型TOP统计 | 可查看Client ID、网页端UMID、APP端UMID、UserAgent四種用戶端標識的統計情況。 |
流量指纹统计 | 可查看JA3指纹、JA4指纹、HTTP/2指纹三種指紋類型的統計情況。 |
请求头Top统计 | 可查看請求的前10個Host、Path、QueryString、Referer。 |
防护对象TOP统计 | 可查看根據篩選條件匹配出的請求次數前10個防護對象。 |