View a markdown version of this page

봇 관리를 위한 정적 제어 - AWS 권장 가이드
목록 허용IP 기반 제어내장 검사

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

봇 관리를 위한 정적 제어

작업을 수행하기 위해 정적 제어는 IP 주소 또는 헤더와 같은 HTTP(S) 요청의 정적 정보를 평가합니다. 이러한 제어는 세분화가 낮은 잘못된 봇 활동이나 확인 및 관리가 필요한 유용한 예상 봇 트래픽에 유용할 수 있습니다. 정적 제어 기법에는 허용 목록, IP 기반 제어 및 내장 검사가 포함됩니다.

목록 허용

허용 목록은 기존 봇 완화 제어를 통해 식별된 친숙한 트래픽을 허용하는 제어입니다. 이를 수행하는 방법에는 여러 가지가 있습니다. 가장 간단한 방법은 IP 주소 집합 또는 유사한 일치 조건과 일치하는 규칙을 사용하는 것입니다. 요청이 Allow 작업으로 설정된 규칙과 일치하면 후속 규칙에 의해 평가되지 않습니다. 경우에 따라 특정 규칙만 실행되지 않도록 해야 합니다. 즉, 모든 규칙이 아닌 한 규칙에 대한 목록을 허용해야 합니다. 이는 규칙에 대한 거짓 긍정을 처리하는 일반적인 시나리오입니다. 허용 목록은 광범위한 규칙으로 간주됩니다. 거짓 부정의 가능성을 줄이려면 경로 또는 헤더 일치와 같이 더 세분화된 다른 옵션과 페어링하는 것이 좋습니다.

IP 기반 제어

단일 IP 주소 블록

봇의 영향을 완화하는 데 일반적으로 사용되는 도구는 단일 요청자의 요청을 제한하는 것입니다. 가장 간단한 예는 요청이 악성이거나 볼륨이 많은 경우 트래픽의 소스 IP 주소를 차단하는 것입니다. IP 세트 일치 규칙을 사용하여 AWS WAF IP 기반 블록을 구현합니다. 이러한 규칙은 IP 주소와 일치하며 Block, Challenge또는 작업을 적용합니다CAPTCHA. 콘텐츠 전송 네트워크(CDN), 웹 애플리케이션 방화벽 또는 애플리케이션 및 서비스 로그를 확인하여 IP 주소에서 너무 많은 요청이 들어오는 시기를 확인할 수 있습니다. 그러나 대부분의 경우이 제어는 자동화 없이는 실용적이지 않습니다.

에서 IP 주소 블록 목록 자동화 AWS WAF 는 일반적으로 속도 기반 규칙을 사용하여 수행됩니다. 자세한 내용은 이 안내서의 속도 기반 규칙 섹션을 참조하세요. 솔루션을 위한 보안 자동화 AWS WAF를 구현할 수도 있습니다. 이 솔루션은 차단할 IP 주소 목록을 자동으로 업데이트하고 AWS WAF 규칙은 해당 IP 주소와 일치하는 요청을 거부합니다.

봇 공격을 인식하는 한 가지 방법은 동일한 IP 주소의 여러 요청이 소수의 웹 페이지에 초점을 맞추는 경우입니다. 이는 봇이 가격을 스크레이핑하거나 높은 비율로 실패하는 로그인을 반복적으로 시도하고 있음을 나타냅니다. 이 패턴을 즉시 인식하는 자동화를 생성할 수 있습니다. 자동화는 IP 주소를 차단하여 공격을 신속하게 식별하고 완화하여 공격의 효율성을 줄입니다. 공격자가 공격을 시작할 IP 주소 모음이 많거나 공격 동작을 인식하고 일반 트래픽과 분리하기 어려운 경우 특정 IP 주소를 차단하는 것은 덜 효과적입니다. 

IP 주소 평판

IP 평판 서비스는 IP 주소의 신뢰성을 평가하는 데 도움이 되는 인텔리전스를 제공합니다. 이 인텔리전스는 일반적으로 해당 IP 주소의 과거 활동에서 IP 관련 정보를 집계하여 파생됩니다. 이전 활동은 IP 주소가 악의적인 요청을 생성할 가능성을 나타내는 데 도움이 됩니다. 데이터는 IP 주소 동작을 추적하는 관리형 목록에 추가됩니다.

익명 IP 주소는 IP 주소 평판의 특수한 사례입니다. 소스 IP 주소는 클라우드 기반 가상 머신과 같이 쉽게 획득할 수 있는 IP 주소의 알려진 소스 또는 알려진 VPN 공급자 또는 Tor 노드와 같은 프록시에서 비롯됩니다. AWS WAF Amazon IP 평판 목록익명 IP 목록 관리형 규칙 그룹은 Amazon 내부 위협 인텔리전스를 사용하여 이러한 IP 주소를 식별하는 데 도움이 됩니다.

이러한 관리형 목록에서 제공하는 인텔리전스는 이러한 소스에서 식별된 활동에 대해 조치를 취하는 데 도움이 될 수 있습니다. 이 인텔리전스를 기반으로 트래픽을 직접 차단하는 규칙 또는 요청 수를 제한하는 규칙(예: 속도 기반 규칙)을 생성할 수 있습니다. 또한이 인텔리전스를 사용하여 COUNT 모드의 규칙을 사용하여 트래픽 소스를 평가할 수 있습니다. 그러면 일치 기준이 검사되고 사용자 지정 규칙을 생성하는 데 사용할 수 있는 레이블이 적용됩니다.

속도 기반 규칙

속도 기반 규칙은 특정 시나리오에 유용한 도구일 수 있습니다. 예를 들어, 속도 기반 규칙은 민감한 URIs(Uniform Resource Identifier)의 사용자와 비교하여 봇 트래픽이 대량에 도달하거나 트래픽 볼륨이 정상 작업에 영향을 미치기 시작할 때 유효합니다. 속도 제한은 요청을 관리 가능한 수준으로 유지하고 액세스를 제한 및 제어할 수 있습니다. AWS WAF 는 속도 기반 규칙 문을 사용하여 웹 액세스 제어 목록(웹 ACL)에서 속도 제한 규칙을 구현할 수 있습니다. https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html 속도 기반 규칙을 사용할 때 권장되는 접근 방식은 전체 사이트, URI별 규칙 및 IP 평판 속도 기반 규칙을 포함하는 포괄적 규칙을 포함하는 것입니다. IP 평판 속도 기반 규칙은 IP 주소 평판의 인텔리전스와 속도 제한 기능을 결합합니다.

전체 사이트의 경우 포괄적인 IP 평판 비율 기반 규칙은 정교한 봇이 적은 수의 IPs에서 사이트를 플러딩하지 못하도록 하는 상한을 생성합니다. 속도 제한은 로그인 또는 계정 생성 페이지와 같이 비용이나 영향이 높은 URIs를 보호하는 데 특히 권장됩니다.

속도 제한 규칙은 비용 효율적인 첫 번째 방어 계층을 제공할 수 있습니다. 고급 규칙을 사용하여 민감한 URIs. URI별 속도 기반 규칙은 데이터베이스 액세스와 같이 백엔드에 APIs에 미치는 영향을 제한할 수 있습니다. 이 가이드의 뒷부분에서 설명하는 특정 URIs를 보호하기 위한 고급 완화 조치에는 종종 추가 비용이 발생하며 이러한 URI별 속도 기반 규칙은 비용을 제어하는 데 도움이 될 수 있습니다. 일반적으로 권장되는 속도 기반 규칙에 대한 자세한 내용은 AWS 보안 블로그의 가장 중요한 세 가지 AWS WAF 속도 기반 규칙을 참조하세요. 경우에 따라 속도 기반 규칙으로 평가되는 요청 유형을 제한하는 것이 유용합니다. 범위 축소 문을 사용하여 예를 들어 소스 IP 주소의 지리적 영역별로 비율 기반 규칙을 제한할 수 있습니다.

AWS WAF 는 집계 키를 사용하여 속도 기반 규칙에 대한 고급 기능을 제공합니다. 이 기능을 사용하면 소스 IP 주소 외에 다른 다양한 집계 키와 키 조합을 사용하도록 속도 기반 규칙을 구성할 수 있습니다. 예를 들어 단일 조합으로 전달된 IP 주소, HTTP 메서드 및 쿼리 인수를 기반으로 요청을 집계할 수 있습니다. 이를 통해 정교한 볼륨 측정 트래픽 완화를 위해 보다 세분화된 규칙을 구성할 수 있습니다.

내장 검사

내장 검사는 시스템 또는 프로세스 내에서 다양한 유형의 내부 또는 내재적 검증 또는 확인입니다. 봇 제어 AWS WAF 의 경우는 요청에 전송된 정보가 시스템 신호와 일치하는지 확인하여 내장 검사를 수행합니다. 예를 들어 역방향 DNS 조회 및 기타 시스템 확인을 수행합니다. SEO 관련 요청과 같은 일부 자동 요청이 필요합니다. 허용 목록은 양호하고 예상되는 봇을 허용하는 방법입니다. 그러나 악의적인 봇이 좋은 봇을 에뮬레이션하는 경우가 있으며, 이를 분리하는 것은 어려울 수 있습니다.는 관리형 AWS WAF Bot Control 규칙 그룹을 통해 이를 수행하는 방법을 AWS WAF 제공합니다. 이 그룹의 규칙은 자체 식별 봇이 누구인지 확인합니다.는 요청의 세부 정보를 해당 봇의 알려진 패턴과 비교하여 AWS WAF 확인하고 역방향 DNS 조회 및 기타 목표 확인도 수행합니다.