Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Techniken zur Bot-Kontrolle
Das Hauptziel der Bot-Abwehr besteht darin, die negativen Auswirkungen automatisierter Bot-Aktivitäten auf die Websites, Dienste und Anwendungen eines Unternehmens zu begrenzen. Die verwendeten Technologien und Techniken hängen von der Art des Datenverkehrs oder der Aktivität ab, gegen die Sie sich schützen möchten. Um dies zu erreichen, ist es wichtig, die Anwendung und ihren Datenverkehr zu verstehen. Weitere Informationen darüber, wo Sie anfangen sollen, finden Sie im [Richtlinien für die Überwachung Ihrer Bot-Kontrollstrategie](monitoring.md) Abschnitt dieses Handbuchs.
Im Allgemeinen lassen sich die Kontrollen, die Lösungen zur Abwehr von Bots bieten, in die folgenden übergeordneten Kategorien einteilen: statisch, Kundenidentifikation und erweiterte Analyse. Die folgende Abbildung zeigt die verschiedenen verfügbaren Techniken und wie sie je nach Komplexität der Bot-Aktivität eingesetzt werden können. Hier wird verdeutlicht, wie die Grundlage oder die umfassendste Abhilfemaßnahme durch den Einsatz statischer Kontrollen, wie z. B. der Listung von Zulassungen und systeminterne Prüfungen, erreicht werden kann. Der kleinste Teil der Bots ist immer der fortschrittlichste, und die Abwehr dieser Bots erfordert fortschrittlichere Technologien und eine Kombination von Kontrollen.
![\[Mit der zunehmenden Komplexität von Bots müssen auch die Komplexität und Raffinesse der Abwehrtechniken zunehmen.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/bot-control/images/bot-mitigation-techniques.png)
Als Nächstes untersucht dieser Leitfaden jede Kategorie und ihre Techniken. Außerdem werden die Optionen beschrieben, die [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)zur Implementierung dieser Steuerelemente verfügbar sind:
+ [Statische Steuerelemente für die Verwaltung von Bots](static-controls.md)
+ [Kontrollen zur Client-Identifizierung für die Verwaltung von Bots](client-identification-controls.md)
+ [Erweiterte Analysefunktionen für die Verwaltung von Bots](advanced-analysis-controls.md)
# Statische Steuerelemente für die Verwaltung von Bots
Um eine Maßnahme zu ergreifen, werten *statische Kontrollen* statische Informationen aus der HTTP (S) -Anfrage aus, z. B. ihre IP-Adresse oder ihre Header. Diese Kontrollen können nützlich sein bei bösartigen Bot-Aktivitäten mit geringer Komplexität oder bei erwartetem nutzbringendem Bot-Traffic, der verifiziert und verwaltet werden muss. Zu den statischen Kontrollmethoden gehören: Auflisten von Zulassungen, IP-basierte Kontrollen und interne Prüfungen.
## Auflistung zulassen
Bei der Option „Eintrag zulassen“ handelt es sich um ein Steuerelement, das identifizierten, freundlichen Traffic mithilfe vorhandener Kontrollen zur Abwehr von Bots ermöglicht. Es gibt eine Vielzahl von Möglichkeiten, dies zu erreichen. Am einfachsten ist es, eine Regel zu verwenden, die [einer Reihe von IP-Adressen oder einer ähnlichen Übereinstimmungsbedingung](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html) entspricht. Wenn eine Anforderung mit einer Regel übereinstimmt, die auf eine `Allow` Aktion festgelegt ist, wird sie nicht durch nachfolgende Regeln ausgewertet. In einigen Fällen müssen Sie verhindern, dass nur auf bestimmte Regeln reagiert wird. Mit anderen Worten, Sie müssen die Liste für eine Regel zulassen, aber nicht für alle Regeln. Dies ist ein übliches Szenario für den Umgang mit falsch positiven Ergebnissen bei Regeln. Die Option „Liste zulassen“ wird als Regel mit umfassendem Geltungsbereich betrachtet. Um das Risiko falsch negativer Ergebnisse zu verringern, empfehlen wir, diese Option mit einer anderen detaillierteren Option zu kombinieren, z. B. einem Pfad- oder Header-Abgleich.
## IP-basierte Steuerungen
### Einzelne IP-Adressblöcke
Ein häufig verwendetes Tool zur Minderung der Auswirkungen von Bots besteht darin, Anfragen von einem einzelnen Anforderer zu begrenzen. Das einfachste Beispiel besteht darin, die Quell-IP-Adresse des Datenverkehrs zu blockieren, wenn die Anfragen böswillig sind oder ein hohes Volumen aufweisen. Dabei werden AWS WAF [IP-Set-Übereinstimmungsregeln](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-ipset-match.html) verwendet, um IP-basierte Blöcke zu implementieren. Diese Regeln stimmen bei IP-Adressen überein und wenden die Aktion `Block``Challenge`, oder `CAPTCHA` an. Sie können anhand des Content Delivery Network (CDN), einer Firewall für Webanwendungen oder Anwendungs- und Dienstprotokolle feststellen, wann zu viele Anfragen von einer IP-Adresse eingehen. In den meisten Fällen ist diese Steuerung jedoch ohne Automatisierung nicht praktikabel.
Die Automatisierung von Blocklisten für IP-Adressen AWS WAF erfolgt üblicherweise mit ratenbasierten Regeln. Weitere Informationen finden Sie unter [Ratenbasierte Regeln](#rate-based-rules) in diesem Handbuch. Sie können auch die [Sicherheitsautomatisierung](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/welcome.html) als Lösung implementieren. AWS WAF Diese Lösung aktualisiert automatisch eine Liste von IP-Adressen, die blockiert werden sollen, und eine AWS WAF Regel lehnt Anfragen ab, die diesen IP-Adressen entsprechen.
Eine Möglichkeit, einen Bot-Angriff zu erkennen, besteht darin, dass sich eine Vielzahl von Anfragen von derselben IP-Adresse auf eine kleine Anzahl von Webseiten konzentriert. Dies deutet darauf hin, dass der Bot Preise verschrottet oder wiederholt versucht, Logins zu starten, die zu einem hohen Prozentsatz fehlschlagen. Sie können Automatisierungen erstellen, die dieses Muster sofort erkennen. Die Automatisierungen blockieren die IP-Adresse, wodurch die Wirksamkeit des Angriffs verringert wird, da er schnell identifiziert und abgewehrt wird. Das Blockieren bestimmter IP-Adressen ist weniger effektiv, wenn ein Angreifer über eine große Sammlung von IP-Adressen verfügt, von denen aus er Angriffe starten kann, oder wenn das Angriffsverhalten schwer zu erkennen und vom normalen Datenverkehr zu trennen ist.
### Reputation von IP-Adressen
Ein *IP-Reputationsdienst* liefert Informationen, anhand derer die Vertrauenswürdigkeit einer IP-Adresse bewertet werden kann. Diese Informationen werden üblicherweise durch die Zusammenfassung von IP-bezogenen Informationen aus vergangenen Aktivitäten anhand dieser IP-Adresse gewonnen. Frühere Aktivitäten geben Aufschluss darüber, wie wahrscheinlich es ist, dass eine IP-Adresse bösartige Anfragen generiert. Die Daten werden zu verwalteten Listen hinzugefügt, die das Verhalten von IP-Adressen verfolgen.
Anonyme IP-Adressen sind ein Spezialfall der Reputation von IP-Adressen. Die Quell-IP-Adresse stammt aus bekannten Quellen leicht zu beschaffender IP-Adressen, wie z. B. cloudbasierten virtuellen Maschinen, oder von Proxys wie bekannten VPN-Anbietern oder Tor-Knoten. Die verwalteten Regelgruppen AWS WAF [Amazon IP Reputation List](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) [und Anonymous IP List](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) verwenden interne Bedrohungsinformationen von Amazon, um diese IP-Adressen zu identifizieren.
Die von diesen verwalteten Listen bereitgestellten Informationen können Ihnen helfen, auf Aktivitäten zu reagieren, die aus diesen Quellen identifiziert wurden. Auf der Grundlage dieser Informationen können Sie Regeln erstellen, die den Datenverkehr direkt blockieren, oder Regeln, die die Anzahl der Anfragen begrenzen (z. B. ratenbasierte Regeln). Sie können diese Informationen auch verwenden, um die Quelle des Datenverkehrs zu bewerten, indem Sie die Regeln im `COUNT` Modus verwenden. Dabei werden die Übereinstimmungskriterien untersucht und Beschriftungen zugewiesen, anhand derer Sie benutzerdefinierte Regeln erstellen können.
### Ratenbasierte Regeln
Ratenbasierte Regeln können für bestimmte Szenarien ein wertvolles Tool sein. Ratenbasierte Regeln sind beispielsweise wirksam, wenn der Bot-Verkehr im Vergleich zu Benutzern mit sensiblen Uniform Resource Identifiers (URIs) ein hohes Volumen erreicht oder wenn das Datenverkehrsvolumen beginnt, den normalen Betrieb zu beeinträchtigen. Durch die Ratenbegrenzung können Anfragen auf einem überschaubaren Niveau gehalten und der Zugriff eingeschränkt und kontrolliert werden. AWS WAF [kann mithilfe einer ratenbasierten Regelanweisung eine Regel zur Ratenbegrenzung in einer [Web-Zugriffskontrollliste (Web ACL)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) implementieren.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html) Ein empfohlener Ansatz bei der Verwendung ratenbasierter Regeln besteht darin, eine pauschale Regel, die die gesamte Site abdeckt, URI-spezifische Regeln und Regeln, die auf IP-Reputationsraten basieren, aufzunehmen. Regeln, die auf der IP-Reputationsrate basieren, kombinieren die Intelligenz der IP-Reputation mit Funktionen zur Ratenbegrenzung.
Eine pauschale Regel, die auf der IP-Reputationsrate basiert, legt für die gesamte Site eine Obergrenze fest, die verhindert, dass unkomplizierte Bots eine Site von einer kleinen Anzahl von aus überfluten. IPs Die Ratenbegrenzung wird vor allem für den Schutz empfohlen, der mit hohen Kosten oder Auswirkungen verbunden ist URIs , wie z. B. Anmeldeseiten oder Seiten zur Kontoerstellung.
Regeln zur Ratenbegrenzung können eine kosteneffiziente erste Schutzebene bieten. Sie können erweiterte Regeln verwenden, um sensible Daten zu schützen. URIs URI-spezifische ratenbasierte Regeln können die Auswirkungen auf kritische Seiten oder solche, die sich auf das Backend auswirken APIs , wie z. B. den Datenbankzugriff, begrenzen. Fortgeschrittene Abhilfemaßnahmen zum Schutz bestimmter Bereiche URIs, auf die weiter unten in diesem Leitfaden eingegangen wird, sind häufig mit zusätzlichen Kosten verbunden, und diese URI-spezifischen ratenbasierten Regeln können Ihnen helfen, die Kosten zu kontrollieren. Weitere Informationen zu häufig empfohlenen ratenbasierten Regeln finden Sie im Sicherheitsblog unter [Die drei wichtigsten](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/) ratenbasierten Regeln. AWS WAF AWS In manchen Situationen ist es sinnvoll, die Art der Anfrage, die anhand einer ratenbasierten Regel bewertet wird, einzuschränken. Sie können [Scopedown-Anweisungen](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) verwenden, um beispielsweise ratenbasierte Regeln auf das geografische Gebiet der Quell-IP-Adresse zu beschränken.
AWS WAF [bietet mithilfe von Aggregationsschlüsseln erweiterte Funktionen für ratenbasierte Regeln.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-instances.html) Mit dieser Funktion können Sie eine ratenbasierte Regel so konfigurieren, dass sie neben der Quell-IP-Adresse auch verschiedene andere Aggregationsschlüssel und Tastenkombinationen verwendet. Als einzelne Kombination können Sie beispielsweise Anfragen auf der Grundlage einer weitergeleiteten IP-Adresse, der HTTP-Methode und eines Abfragearguments aggregieren. Auf diese Weise können Sie detailliertere Regeln für eine ausgeklügelte Reduzierung des volumetrischen Datenverkehrs konfigurieren.
## Intrinsische Prüfungen
*Bei intrinsischen Prüfungen* handelt es sich um verschiedene Arten interner oder inhärenter Validierungen oder Überprüfungen innerhalb eines Systems oder Prozesses. AWS WAF Führt bei der Bot-Kontrolle eine systeminterne Prüfung durch, indem überprüft wird, ob die in der Anfrage gesendeten Informationen mit den Systemsignalen übereinstimmen. Es führt beispielsweise umgekehrte DNS-Suchen und andere Systemüberprüfungen durch. Einige automatisierte Anfragen sind erforderlich, z. B. SEO-bezogene Anfragen. Die Option „Eintrag zulassen“ ist eine Möglichkeit, gute, erwartungsgemäße Bots durchzulassen. Aber manchmal emulieren böswillige Bots gute Bots, und es kann schwierig sein, sie voneinander zu trennen. AWS WAF bietet Methoden, um dies mithilfe der verwalteten [AWS WAF Bot-Control-Regelgruppe](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) zu erreichen. Die Regeln in dieser Gruppe verifizieren, dass selbst identifizierte Bots auch die sind, für die sie sich ausgeben. AWS WAF überprüft die Details der Anfrage anhand des bekannten Musters dieses Bots und führt außerdem umgekehrte DNS-Suchen und andere objektive Überprüfungen durch.
# Kontrollen zur Client-Identifizierung für die Verwaltung von Bots
Wenn der Datenverkehr im Zusammenhang mit Angriffen nicht einfach anhand statischer Attribute erkannt werden kann, muss die Erkennung in der Lage sein, den Client, der die Anfrage stellt, genau zu identifizieren. Ratenbasierte Regeln sind beispielsweise oft effektiver und schwieriger zu umgehen, wenn das Attribut, für das die Ratenbegrenzung gilt, anwendungsspezifisch ist, z. B. ein Cookie oder ein Token. Die Verwendung eines an eine Sitzung gebundenen Cookies verhindert, dass Botnetzbetreiber ähnliche Anforderungsflüsse über viele Bots hinweg duplizieren können.
Die Token-Erfassung wird häufig zur Kundenidentifikation verwendet. Bei der Tokenerfassung sammelt ein JavaScript Code Informationen, um ein Token zu generieren, das serverseitig ausgewertet wird. Die Auswertung kann von der Überprüfung der Ausführung auf dem Client bis hin JavaScript zur Erfassung von Geräteinformationen für Fingerabdrücke reichen. Für die Token-Akquisition ist die Integration eines JavaScript SDK in die Site oder Anwendung erforderlich, oder es ist erforderlich, dass ein Dienstanbieter die Injektion dynamisch durchführt.
Wenn JavaScript Unterstützung erforderlich ist, stellt dies eine zusätzliche Hürde für Bots dar, die versuchen, Browser zu emulieren. Wenn ein SDK involviert ist, z. B. in einer mobilen Anwendung, verifiziert die Token-Erfassung die SDK-Implementierung und verhindert, dass Bots die Anforderungen der Anwendung nachahmen.
Die Token-Akquisition erfordert die Verwendung von, die auf der Client-Seite der Verbindung SDKs implementiert ist. Die folgenden AWS WAF Funktionen bieten ein JavaScript auf Browser basierendes SDK und ein anwendungsbasiertes SDK für mobile Geräte: [Bot-Kontrolle](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html), [Verhinderung von Kontoübernahmen (ATP) bei der Betrugsbekämpfung](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html) [und Betrugsprävention bei der Kontoerstellung (ACFP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-acfp.html)).
Zu den Techniken zur Kundenidentifikation gehören CAPTCHA, Browser-Profiling, Geräte-Fingerprinting und TLS-Fingerprinting.
## CAPTCHA
Der vollständig automatisierte öffentliche Turing-Test zur Unterscheidung von Computern und Menschen ([CAPTCHA](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha.html)) wird verwendet, um zwischen Robotern und menschlichen Besuchern zu unterscheiden und Web-Scraping, Credential-Stuffing und Spam zu verhindern. Es gibt eine Vielzahl von Implementierungen, aber sie beinhalten oft ein Rätsel, das ein Mensch lösen kann. CAPTCHAsbieten eine zusätzliche Schutzebene gegen häufig vorkommende Bots und können die Zahl der Fehlalarme bei der Bot-Erkennung reduzieren.
AWS WAF ermöglicht Regeln, eine CAPTCHA-Aktion gegen Webanfragen auszuführen, die den Prüfkriterien einer Regel entsprechen. Diese Aktion ist das Ergebnis der Auswertung der vom Dienst gesammelten Kundenidentifikationsinformationen. AWS WAF Regeln können erfordern, dass CAPTCHA-Herausforderungen für bestimmte Ressourcen gelöst werden, die häufig von Bots angegriffen werden, z. B. beim Anmelden, Suchen und Einreichen von Formularen. AWS WAF kann CAPTCHA direkt über interstitielle Mittel oder mithilfe eines SDK bereitstellen, um es auf der Clientseite zu handhaben. Weitere Informationen finden Sie unter [CAPTCHA](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha-and-challenge.html) und Challenge in. AWS WAF
## Browser-Profilerstellung
Die Erstellung von *Browserprofilen* ist eine Methode zur Erfassung und Auswertung von Browsermerkmalen im Rahmen der Token-Erfassung, um echte Menschen, die einen interaktiven Browser verwenden, von verteilten Bot-Aktivitäten zu unterscheiden. Sie können Browserprofile passiv anhand von Headern, Header-Reihenfolge und anderen Merkmalen von Anfragen erstellen, die für die Funktionsweise von Browsern typisch sind.
Sie können die Browser-Profilerstellung auch im Code durchführen, indem Sie die Token-Erfassung verwenden. Durch JavaScript die Verwendung von Browserprofilen können Sie schnell feststellen, ob ein Client dies unterstützt. JavaScript Auf diese Weise können Sie einfache Bots erkennen, die dies nicht unterstützen. Die Browser-Profilerstellung überprüft mehr als nur HTTP-Header und deren JavaScript Unterstützung. Die Browser-Profilerstellung erschwert es Bots, einen Webbrowser vollständig zu emulieren. Beide Optionen zur Browser-Profilerstellung verfolgen dasselbe Ziel: Muster in einem Browserprofil zu finden, die auf Inkonsistenzen mit dem Verhalten eines echten Browsers hinweisen.
AWS WAF Die Bot-Kontrolle für gezielte Bots gibt im Rahmen der Token-Auswertung Aufschluss darüber, ob ein Browser Hinweise auf Automatisierung oder inkonsistente Signale aufweist. AWS WAF kennzeichnet die Anfrage, um die in der Regel angegebene Aktion auszuführen. Weitere Informationen finden Sie im AWS Sicherheitsblog unter [Erkennen und Blockieren von fortgeschrittenem Bot-Traffic](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/).
## Fingerabdruck auf dem Gerät
Das Geräte-Fingerprinting ähnelt der Erstellung von Browserprofilen, ist jedoch nicht auf Browser beschränkt. Code, der auf einem Gerät ausgeführt wird (das kann ein Mobilgerät oder ein Webbrowser sein), sammelt Details des Geräts und meldet sie an einen Backend-Server. Zu den Details können Systemattribute wie Speicher, CPU-Typ, Kerneltyp des Betriebssystems (OS), Betriebssystemversion und Virtualisierung gehören.
Mithilfe von Geräte-Fingerprinting können Sie erkennen, ob ein Bot eine Umgebung emuliert oder ob es direkte Anzeichen dafür gibt, dass Automatisierung verwendet wird. Darüber hinaus kann das Geräte-Fingerprinting auch verwendet werden, um wiederholte Anfragen von demselben Gerät zu erkennen.
Das Erkennen wiederholter Anfragen von demselben Gerät, selbst wenn das Gerät versucht, einige Merkmale der Anfrage zu ändern, ermöglicht es einem Backend-System, Regeln zur Geschwindigkeitsbegrenzung festzulegen. Regeln zur Ratenbegrenzung, die auf Geräte-Fingerprinting basieren, sind in der Regel effektiver als Regeln zur Ratenbegrenzung, die auf IP-Adressen basieren. Auf diese Weise können Sie Bot-Traffic abwehren, der zwischen VPNs Proxys rotiert, aber von einer kleinen Anzahl von Geräten stammt.
In Kombination mit der Anwendungsintegration SDKs kann die AWS WAF Bot-Steuerung für gezielte Bots das Verhalten von Client-Sitzungsanfragen aggregieren. Auf diese Weise können Sie legitime Clientsitzungen erkennen und von böswilligen Clientsitzungen trennen, selbst wenn beide von derselben IP-Adresse stammen. Weitere Informationen zur AWS WAF Bot-Kontrolle für gezielte Bots finden Sie im AWS Sicherheits-Blog unter [Erkennen und Blockieren von fortgeschrittenem Bot-Traffic](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/).
## TLS-Fingerprinting
TLS-Fingerprinting, auch *signaturbasierte Regeln genannt, werden häufig verwendet,* wenn Bots von vielen IP-Adressen stammen, aber ähnliche Eigenschaften aufweisen. Bei der Verwendung von HTTPS tauschen Client- und Serverseite Nachrichten aus, um sich gegenseitig zu bestätigen und zu verifizieren. Sie richten kryptografische Algorithmen und Sitzungsschlüssel ein. Dies wird als *TLS-Handshake* bezeichnet. Die Art und Weise, wie ein TLS-Handshake implementiert wird, ist eine Signatur, die oft nützlich ist, um große Angriffe zu erkennen, die sich über viele IP-Adressen verteilen.
Mithilfe von TLS-Fingerprinting können Webserver die Identität eines Webclients mit hoher Genauigkeit ermitteln. Es erfordert nur die Parameter in der ersten Paketverbindung, bevor ein Anwendungsdatenaustausch stattfindet. In diesem Fall bezieht sich *Webclient* auf die Anwendung, die eine Anfrage initiiert. Dabei kann es sich um einen Browser, ein CLI-Tool, ein Skript (Bot), eine native Anwendung oder einen anderen Client handeln.
[Ein Ansatz für das SSL- und TLS-Fingerprinting ist JA3 der Fingerabdruck.](https://github.com/salesforce/ja3) JA3gibt anhand von Feldern in der Client Hello-Nachricht aus dem SSL- oder TLS-Handshake einen Fingerabdruck auf eine Client-Verbindung ab. Es hilft Ihnen, Profile für bestimmte SSL- und TLS-Clients anhand verschiedener Quell-IP-Adressen, Ports und X.509-Zertifikate zu erstellen.
Amazon CloudFront unterstützt das [Hinzufügen von JA3 Headern](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-cloudfront-headers.html) zu Anfragen. Ein `CloudFront-Viewer-JA3-Fingerprint` Header enthält einen 32-stelligen Hash-Fingerabdruck des TLS-Client-Hello-Pakets einer eingehenden Viewer-Anfrage. Der Fingerabdruck enthält Informationen darüber, wie der Client kommuniziert. Diese Informationen können verwendet werden, um Profile von Clients zu erstellen, die dasselbe Muster verwenden. Sie können den `CloudFront-Viewer-JA3-Fingerprint` Header zu einer ursprünglichen Anforderungsrichtlinie hinzufügen und die Richtlinie einer CloudFront Distribution zuordnen. Sie können den Header-Wert dann in Originalanwendungen oder in Lambda @Edge und CloudFront Functions überprüfen. Sie können den Header-Wert mit einer Liste bekannter Malware-Fingerabdrücke vergleichen, um bösartige Clients zu blockieren. Sie können den Header-Wert auch mit einer Liste erwarteter Fingerabdrücke vergleichen, um nur Anfragen von bekannten Clients zuzulassen.
# Erweiterte Analysefunktionen für die Verwaltung von Bots
Einige Bots verwenden fortschrittliche Täuschungstools, um sich aktiv der Entdeckung zu entziehen. Diese Bots ahmen menschliches Verhalten nach, um eine bestimmte Aktivität wie Scalping auszuführen. Diese Bots haben einen Zweck, der normalerweise mit einer großen finanziellen Belohnung verbunden ist.
Diese fortschrittlichen, persistenten Bots verwenden eine Mischung von Technologien, um der Entdeckung zu entgehen oder sich in den regulären Traffic einzumischen. Dies wiederum erfordert auch eine Mischung verschiedener Erkennungstechnologien, um den bösartigen Datenverkehr genau zu identifizieren und einzudämmen.
## Gezielte Anwendungsfälle
Anwendungsfalldaten können Möglichkeiten zur Bot-Erkennung bieten. *Bei Betrugserkennungen* handelt es sich um spezielle Anwendungsfälle, bei denen besondere Maßnahmen erforderlich sind. Um beispielsweise Kontoübernahmen zu verhindern, können Sie eine Liste kompromittierter Kontonutzernamen und Passwörter mit Anfragen zur Anmeldung oder Kontoerstellung vergleichen. Dies hilft Website-Besitzern, Anmeldeversuche zu erkennen, bei denen kompromittierte Anmeldeinformationen verwendet werden. Die Verwendung kompromittierter Anmeldeinformationen kann darauf hindeuten, dass Bots versuchen, ein Konto zu übernehmen, oder es könnten Benutzer sein, die nicht wissen, dass ihre Anmeldeinformationen kompromittiert wurden. In diesem Anwendungsfall können Webseitenbesitzer zusätzliche Schritte unternehmen, um den Benutzer zu verifizieren und ihm dann zu helfen, sein Passwort zu ändern. AWS WAF stellt die verwaltete Regel [zur Verhinderung von Kontoübernahmen (Fraud Control Account Takeover Prevention, ATP)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html) für diesen Anwendungsfall bereit.
## Bot-Erkennung auf Anwendungsebene oder aggregierte Bot-Erkennung
In einigen Anwendungsfällen müssen Daten über Anfragen aus dem Content Delivery Network (CDN) und dem Backend der Anwendung oder des Dienstes kombiniert werden. AWS WAF Manchmal müssen Sie sogar Informationen von Drittanbietern integrieren, um fundierte Entscheidungen über Bots treffen zu können.
[Funktionen in [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) und AWS WAF können Signale an die Backend-Infrastruktur senden oder Regeln anschließend über Header und Labels aggregieren.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) CloudFront macht, wie bereits erwähnt, JA3 Fingerabdruck-Header verfügbar. Dies ist ein Beispiel für CloudFront die Bereitstellung solcher Daten über einen Header. AWS WAF kann Labels senden, wenn es einer Regel entspricht. Nachfolgende Regeln können diese Labels verwenden, um bessere Entscheidungen über Bots zu treffen. Wenn mehrere Regeln kombiniert werden, können Sie sehr detaillierte Kontrollen implementieren. Ein häufiger Anwendungsfall besteht darin, Teile einer verwalteten Regel anhand eines Labels abzugleichen und diese dann mit anderen Anforderungsdaten zu kombinieren. Weitere Informationen finden Sie in der AWS WAF Dokumentation unter [Beispiele für den Label-Abgleich](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-label-match-examples.html).
## Analyse des maschinellen Lernens
Machine Learning (ML) ist eine leistungsstarke Technik für den Umgang mit Bots. ML kann sich an sich ändernde Details anpassen und bietet in Kombination mit anderen Tools die robusteste und vollständigste Methode zur Abwehr von Bots mit minimalen Fehlalarmen. Die beiden gängigsten ML-Techniken sind die *Verhaltensanalyse* und die Erkennung von *Anomalien*. Bei der Verhaltensanalyse überwacht ein System (im Client, Server oder in beiden), wie ein Benutzer mit der Anwendung oder Website interagiert. Es überwacht Mausbewegungsmuster oder die Häufigkeit von Klick- und Berührungsinteraktionen. Das Verhalten wird dann mit einem ML-Modell analysiert, um Bots zu erkennen. Die Erkennung von Anomalien ist ähnlich. Der Schwerpunkt liegt auf der Erkennung von Verhaltensweisen oder Mustern, die sich erheblich von einer für die Anwendung oder Website definierten Ausgangsbasis unterscheiden.
AWS WAF Gezielte Kontrollen für Bots bieten prädiktive ML-Technologie. Diese Technologie trägt zur Abwehr verteilter, proxybasierter Angriffe bei, die von Bots ausgeführt werden, die darauf ausgelegt sind, der Entdeckung zu entgehen. Die [Regelgruppe Managed AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) verwendet automatisierte ML-Analysen der Statistiken zum Website-Traffic, um ungewöhnliches Verhalten zu erkennen, das auf verteilte, koordinierte Bot-Aktivitäten hindeutet.