AWS WAF 如何帮助防止暴力登录攻击?

上次更新日期:2022 年 7 月 21 日

如何使用 AWS WAF 帮助防止暴力攻击?

简短描述

暴力攻击是一种策略,通过反复试验来猜测登录凭证和加密密钥,从而对账户、系统和网络进行未经授权的访问。这种攻击被称为暴力破解,因为黑客使用过多的暴力尝试来获取对您账户的访问权限。

以下 AWS WAF 功能有助于防止暴力登录攻击:

解决方法

基于速率的规则

基于速率的规则根据源 IP 地址跟踪请求。如果请求速率每间隔五分钟超过定义的阈值,则会调用该规则。

创建基于速率的规则,以便在请求速率高于预期时阻止请求。要找到基于速率的规则的阈值,您必须启用 AWS WAF 日志记录分析日志以获取请求速率。有关如何创建基于速率的规则的信息,请参阅创建规则和添加条件

您还可以创建特定于 URI 路径的基于速率的规则。暴力攻击通常以登录页面为目标,从而获取对账户凭证的访问权限。网站上的不同页面可能会收到不同的请求速率。例如,与登录页面相比,主页获得流量的速率可能更高。

要创建特定于登录页面的基于速率的规则,请使用以下规则配置:

  • 对于 Inspect Request(检查请求),选择 URI path(URI 路径)。
  • 对于 Match type(匹配类型),选择 Starts with string(以字符串开头)。
  • 对于 String to match(要匹配的字符串),选择 /login

AWS WAF 验证码

AWS WAF 验证码质询会验证访问您网站的请求是来自人类还是机器人。使用验证码有助于防止暴力攻击、凭证填充、Web 抓取和向服务器发送垃圾邮件请求。

如果网页旨在接收来自人类的请求,但容易受到暴力攻击,则创建带有验证码操作的规则。成功完成验证码质询后,验证码操作请求将允许访问服务器。

要在登录页面上设置验证码操作,请使用以下规则配置:

  • 对于 Inspect(检查),选择 URI path(URI 路径)。
  • 对于 Match Type(匹配类型),选择 Starts with string(以字符串开头)。
  • 对于 String to match(要匹配的字符串),选择 /login
  • 对于 Action(操作),选择 CAPTCHA(验证码)。
  • 对于 Immunity time(免疫时间),选择 Time in seconds(以秒为单位的时间)。

如果配置了验证码操作,则访问您的登录页面的用户必须先填写验证码,然后才能输入登录信息。此保护措施有助于防止来自机器人的暴力攻击。

注意:为了帮助防止来自人类的暴力攻击,请设置较短的免疫时间。较短的免疫时间会减慢攻击速度,因为攻击者必须为每个请求填写验证码。有关更多信息,请参阅配置验证码免疫时间

有关 AWS WAF 验证码的更多信息,请参阅 AWS WAF 验证码

ATP 托管规则组

AWS WAF 账户盗用防护(ATP)托管规则组会检查试图盗用您账户的恶意请求。例如,暴力登录攻击使用反复试验来猜测凭证并获得对您账户的未授权访问。

ATP 规则组是一个 AWS 托管规则组,包含预定义的规则,这些规则提供对执行异常登录尝试的请求的可见性和控制权。

使用 ATP 规则组中的以下规则子集来帮助阻止暴力攻击:

VolumetricIpHigh
检查从单个 IP 地址发送的大量请求。

AttributePasswordTraversal
检查使用密码遍历的尝试。

AttributeLongSession
检查使用持续时间较长的会话的尝试。

AttributeUsernameTraversal
检查使用用户名遍历的尝试。

VolumetricSession
检查从单个会话发送的大量请求。

MissingCredential
检查缺少的凭证。

有关如何设置 ATP 规则组的更多信息,请参阅 AWS WAF 欺诈控制账户盗用防护(ATP)

AWS WAF Automation on AWS

AWS WAF Security Automation 是一个 AWS CloudFormation 模板,用于部署具有一组规则的 Web ACL。您可以根据自己的使用案例启用这些规则。当黑客试图猜测正确的凭证作为暴力攻击的一部分时,每次登录尝试错误,他们都会收到错误代码。例如,错误代码可能是 401 未授权响应。

扫描程序和探测器规则可以阻止来自持续接收特定响应代码的 IP 的请求。启用此规则将部署一个 AWS Lambda 函数或 Amazon Athena 查询,该查询会自动解析 Amazon CloudFront 或应用程序负载均衡器(ALB)访问日志,以检查来自后端服务器的 HTTP 响应代码。如果收到错误代码的请求数达到定义的阈值,则规则会在您可配置的自定义时间段内阻止这些请求。

有关此模板及其部署方法的更多信息,请参阅使用 AWS WAF Automation on AWS 自动部署单个 Web 访问控制列表以筛选基于 Web 的攻击


这篇文章对您有帮助吗?


您是否需要账单或技术支持?