概觀

自動化機器人流量可能會對您的 Web 應用程式產生負面影響,包括可用性、基礎設施成本增加、分析不準確以及帳戶盜用等欺詐活動。機器人管理指定用於識別來自機器人的流量,然後封鎖意外流量。此類控制的複雜程度取決於惡意行為者在財務與政治方面對 Web 應用程式進行攻擊的程度。他們越是意在以 Web 應用程式為目標,就越會投資於偵測規避技術,這需要更先進的緩解功能。建議採用分層式的方法來管理機器人程式,並使用差異化工具,每個工具都適應特定的機器人複雜程度。

針對常見及普遍機器人程式的基於簽章的偵測

透過分析基於 IP、User-Agent 標頭或 TLS 指紋等 HTTP 屬性的請求簽章,可以在伺服器端識別及管理由掃描程式及爬蟲程式等常見和普遍機器人程式產生的流量。AWS WAF 允許您使用以下基於簽章的規則:

進階機器人程式的行為偵測

當惡意人士有更高的動機自動訪問您的網站時 (例如,出於財務動機來抓取內容以轉售、竊取信用卡資料並轉售等…),他們會在規避偵測的技術投入更多的精力與金錢 (例如,使用住宅網路 IP、使用高級瀏覽器自動化框架、使用 CAPTCHA 農場等…)。對於複雜的機器人程式,基於簽章的偵測效率較低,因此您需要部署更高級且成本更高昂的行為偵測。

CAPTCHA

除了封鎖、計數或速率限制之外,AWS WAF 設定的規則還可以具有 CAPTCHA 動作。當使用 CAPTCHA 動作設定規則時,使用者需要解迷以證明是人類正在傳送請求。當使用者成功解決 CAPTCHA 挑戰時,會在他們的瀏覽器放置一個權杖,以避免使用可設定的免疫時間來挑戰未來的請求。瞭解設定 CAPTCHA 的最佳實務

AWS WAF CAPTCHA 簡介

靜默的挑戰

除了封鎖、計數或速率限制之外,AWS WAF 設定的規則還可以具有 Challenge 動作。使用 Challenge 動作設定規則時,瀏覽器會出現靜默挑戰 (插播式挑戰),該挑戰需要用戶端工作階段驗證它是瀏覽器,而不是機器人。驗證在後台執行,而不涉及終端使用者。這是一個不錯的選擇,可驗證您懷疑是無效的用戶端,同時不會對 CAPTCHA 謎題的終端使用者體驗產生負面影響。當使用者成功解決靜默挑戰時,系統會在其瀏覽器放置一個權杖,以避免使用可設定的免疫時間來挑戰未來的請求。瞭解設定 Challenge 的最佳實務

AWS WAF 欺詐控制

AWS WAF 提供一組受管理規則,專門偵測登入或註冊工作流程的欺詐活動。帳戶盜用是一種線上非法活動,攻擊者透過使用遭竊的憑證或透過一系列嘗試猜測受害者的密碼,來取得未經授權存取使用者帳戶。您可以透過實作 AWS WAF 欺詐控制帳戶盜用預防措施 (ATP) 來監控並控制帳戶盜用嘗試。對於每個使用者工作階段,ATP 會監控登入嘗試的速率 (包括失敗的嘗試),以偵測密碼或使用者名稱瀏覽嘗試。此外,ATP 會根據被盜的憑證資料庫檢查使用者名稱與密碼組合,該資料庫會隨著暗網發現新的洩漏憑證而定期更新。

AWS WAF 帳戶盜用預防措施 - 簡介

帳戶建立欺詐是一種線上非法活動,攻擊者試圖建立一個或多個虛假帳戶。攻擊者使用虛假帳戶進行欺詐活動,例如濫用促銷及註冊獎金、冒充某人以及網路釣魚等網路攻擊。您可以透過實作 AWS WAF 欺詐控制帳戶創建欺詐預防措施 (ACFP) 管理規則,來監控及控制詐欺性帳戶建立嘗試。對於每個使用者工作階段,ACFP 會監控被入侵憑證的使用情況,IP 風險分數,用戶端與頁面的互動性、偵測到的自動化框架或不合理的瀏覽器行為、同一個電話/地址/電子郵件的高度使用量來創建多個帳戶等。

AWS re:Inforce 2023 - 使用 AWS WAF 協助防止帳戶欺詐

若要使用不同的欺詐控制管理規則的完整功能,您需要將用戶端 SDK 新增至您的應用程式,以追蹤工作階段層級的行為。

針對目標機器人的 AWS WAF 機器人控制功能

機器人控制功能規則群組設定為目標機器人防護等級,透過建立智慧型流量模式基準,提供複雜的機器人偵測與緩解措施。針對目標機器人的機器人控制功能使用瀏覽器指紋辨識技術及用戶端 JavaScript 查詢方法,來幫助保護您的應用程式免受模仿人類流量模式及主動嘗試避開偵測的進階機器人程式之攻擊。機器人控制功能偵測使用模式的異常情況,並提供新的靈活緩解選項來隔離惡意機器人程式。這些選項包括動態速率限制、挑戰動作,以及根據標籤及可信度分數進行封鎖的能力。透過本講座及本部落格了解有關此進階功能的模式。

AWS re:Invent 2023 - 如何使用 AWS WAF 控制機器人與協助防止帳戶詐騙

應用程式層級行為偵測

在應用程式層級,您可以根據應用程式的預期使用自訂訊號來識別異常行為。例如,您可能希望使用者按特定順序瀏覽您的應用程式,或者您不可能希望使用者根據其註冊地址從/到某些國家/地區訂購某些商品。使用此類訊號,您可以使用 AWS WAF 自動化回應,例如透過封鎖或挑戰使用來自具有可疑應用程式層級行為的 IP 的 CAPTCHA 要求。若要開始使用基於應用程式訊號的 WAF 自動化概念,請考慮此 AWS 解決方案的範例

進階自動化包括:

  • 使用 Cognito 在登入/註冊過程發出的高風險事件。
  • 使用 Fraud Detector 識別的高風險事件。Fraud Detector 使用機器學習 (ML) 以及 Amazon Web Services (AWS) 與 Amazon.com 超過 20 年的詐騙偵測專業知識,自動識別人類和機器人即時執行的潛在詐騙模式。Fraud Detector 可分析應用程式層級的使用者行為,並使用您自己的歷史詐騙資料來訓練、測試及部署適合您使用案例的定制詐騙偵測機器學習模型,藉此偵測詐騙。

第三方安全性供應商

AWS Marketplace 專門從事進階機器人偵測的安全性供應商可提供額外的保護層。供應商包括 DataDomeDistill NetworksPerimeterXCequenceKasadaImperva

請注意,每個安全性供應商在產業特定的保護、功能及成本方面都有不同的優勢。一般而言,使用 CloudFront 的應用程式可以透過以下兩種方式之一整合供應商解決方案:

  • 基於 SaaS 反向代理的解決方案,位於 CloudFront 和您的來源之間。
  • 全域複製的 Bot Mitigation API,可由 Lambda@Edge 針對每個傳入請求 (即在檢視器請求事件設定) 呼叫,以決定如何管理請求。
使用 Lambda@Edge 的 Datadome 整合

資源

本頁對您是否有幫助?