AWS WAF 如何協助防止暴力密碼破解登入攻擊?

上次更新日期:2022 年 7 月 21 日

如何使用 AWS WAF 協助防止暴力密碼破解攻擊?

簡短描述

暴力密碼破解攻擊是一種使用試錯來猜測登入憑證和加密金鑰,進行未經授權存取帳戶、系統和網路的策略。這種攻擊被稱為暴力密碼破解攻擊,因為駭客使用過度強制嘗試以存取您的帳戶。

下列 AWS WAF 功能有助於防止暴力密碼破解登入攻擊:

解決方案

以速率為基礎的規則

以速率為基礎的規則會根據原始 IP 地址追蹤請求。如果請求速率超過定義的每五分鐘間隔閾值,則會叫用規則。

建立以速率為基礎的規則,以在請求的速率大於預期時封鎖請求。若要尋找以速率為基礎的規則閾值,必須開啟 AWS WAF 日誌記錄,並分析日誌以取得請求速率。如需如何建立以速率為基礎的規則詳細資訊,請參閱建立規則和新增條件

您還可以針對 URI 路徑,建立以速率為基礎的規則。暴力密碼破解攻擊通常以登入頁面為目標,進而存取帳戶憑證。網站上的不同頁面可能會收到不同的請求速率。例如,與登入頁面相比,首頁的流量可能較高。

若要針對登入頁面建立以速率為基礎的規則,請使用下列規則組態:

  • 針對 Inspect Request (檢查請求),選擇 URI path (URI 路徑)。
  • 針對 Match type (比對類型),選擇 Starts with string (以字串開頭)。
  • 針對 String to match (要比對的字串),選擇 /login

AWS WAF CAPTCHA

AWS WAF CAPTCHA 查問可驗證傳送至您網站的請求是來自人類還是機器人。使用 CAPTCHA 有助於防止暴力密碼破解攻擊、憑證填充、Web 抓取,以及向伺服器傳送垃圾郵件請求。

如果網頁旨在接收來自人類的請求,但容易受到暴力密碼破解攻擊,則使用 CAPTCHA 動作建立規則。CAPTCHA 動作請求允許在 CAPTCHA 查問成功完成後存取伺服器。

若要在登入頁面上設定 CAPTCHA 動作,請使用下列規則設定:

  • 針對 Inspect (檢查),選擇 URI path (URI 路徑)。
  • 針對 Match type (比對類型),選擇 Starts with string (以字串開頭)。
  • 針對 String to match (要比對的字串),選擇 /login
  • 針對 Action (動作),選擇 CAPTCHA
  • 針對 Immunity time (免除時間),選擇 Time in seconds (以秒為單位的時間)。

如果設定了 CAPTCHA 動作,存取登入頁面的使用者必須先完成 CAPTCHA,才能輸入其登入資訊。此保護有助於防止來自機器人的暴力密碼破解攻擊。

注意:為協助防止遭受人類暴力密碼破解攻擊,請設定較低的免除時間。低免除時間會減慢攻擊,因為攻擊者必須完成每個請求的 CAPTCHA。如需詳細資訊,請參閱設定 CAPTCHA 免除時間

如需 AWS WAF CAPTCHA 的詳細資訊,請參閱 AWS WAF CAPTCHA

ATP 受管規則群組

AWS WAF 帳戶接管防範 (ATP) 受管規則群組會檢查試圖接管您帳戶的惡意請求。例如,暴力密碼破解登入攻擊使用試錯來猜測憑證,並獲得未經授權存取您帳戶的權限。

ATP 規則群組是一個 AWS 受管規則群組,其中包含預先定義的規則,可提供執行異常登入嘗試請求的可視性和控制權。

使用 ATP 規則群組中的下列規則子集可協助封鎖暴力密碼破解攻擊:

VolumetricIpHigh
檢查從個別 IP 地址傳送的大量請求。

AttributePasswordTraversal
檢查使用密碼周遊的嘗試。

AttributeLongSession
檢查利用持久工作階段的嘗試。

AttributeUsernameTraversal
檢查利用使用者名稱周遊的嘗試。

VolumetricSession
檢查從個別工作階段傳送的大量要求。

MissingCredential
檢查遺失的憑證。

如需如何設定 ATP 規則群組的詳細資訊,請參閱 AWS WAF 詐騙控制帳戶接管防範 (ATP)

AWS WAF Automation on AWS

AWS WAF 安全自動化是一種 AWS CloudFormation 範本,用於部署包含規則集的 Web ACL。您可以根據使用案例啟用這些規則。當駭客試圖猜測正確的憑證作為暴力密碼攻擊的一部分時,他們會收到每次錯誤登入嘗試的錯誤代碼。例如,錯誤碼可能是 401 Unauthorized (401 未經授權) 回應。

掃描儀和探測規則可封鎖來自持續接收特定回應代碼之 IP 的請求來源。啟用此規則會部署 AWS Lambda 函數或 Amazon Athena 查詢,可自動剖析 Amazon CloudFront 或 Application Load Balancer (ALB)、存取日誌以從後端伺服器檢查 HTTP 回應代碼。如果接收錯誤碼的請求數目達到定義的閾值,則規則會在您可以設定的自訂期間封鎖這些請求。

如需此範本以及如何部署範本的詳細資訊,請參閱自動部署可使用 AWS WAF Automation on AWS 篩選 Web 型攻擊的單一 Web 存取控制清單


此文章是否有幫助?


您是否需要帳單或技術支援?