As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Técnicas para controle de bots
O principal objetivo da mitigação de bots é limitar o impacto negativo da atividade automatizada de bots nos sites, serviços e aplicativos de uma organização. A tecnologia e as técnicas usadas dependem do tipo de tráfego ou atividade contra a qual você deseja se defender. Compreender o aplicativo e seu tráfego é fundamental para fazer isso. Para obter mais informações sobre por onde começar, consulte a [Diretrizes para monitorar sua estratégia de controle de bots](monitoring.md) seção deste guia.
Em geral, os controles que as soluções de mitigação de bots fornecem podem ser agrupados nas seguintes categorias de alto nível: estática, identificação do cliente e análise avançada. A figura a seguir mostra as diferentes técnicas disponíveis e como elas podem ser usadas dependendo da complexidade da atividade do bot. Isso destaca como a base, ou a mitigação mais ampla, pode ser obtida por meio do uso de controles estáticos, como listagem de permissões e verificações intrínsecas. A menor parte dos bots é sempre a mais avançada, e a mitigação desses bots requer tecnologia mais avançada e uma combinação de controles.
![\[À medida que a complexidade dos bots aumenta, também aumentam a complexidade e a sofisticação das técnicas de mitigação.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/bot-control/images/bot-mitigation-techniques.png)
A seguir, este guia explora cada categoria e suas técnicas. Também descreve as opções disponíveis [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)para implementar esses controles:
+ [Controles estáticos para gerenciar bots](static-controls.md)
+ [Controles de identificação de clientes para gerenciar bots](client-identification-controls.md)
+ [Controles avançados de análise para gerenciar bots](advanced-analysis-controls.md)
# Controles estáticos para gerenciar bots
Para realizar uma ação, *os controles estáticos* avaliam as informações estáticas da solicitação HTTP (S), como o endereço IP ou os cabeçalhos. Esses controles podem ser úteis para atividades de bots mal-intencionados de baixa sofisticação ou para o tráfego esperado de bots benéfico que precisa ser verificado e gerenciado. As técnicas de controle estático incluem: permitir listagem, controles baseados em IP e verificações intrínsecas.
## Permitir listagem
Permitir listagem é um controle que permite identificar tráfego amigável por meio dos controles existentes de mitigação de bots. Há várias maneiras de fazer isso. O mais simples é usar uma regra que [corresponda a um conjunto de endereços IP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html) ou a uma condição de correspondência semelhante. Quando uma solicitação corresponde a uma regra definida como uma `Allow` ação, ela não é avaliada pelas regras subsequentes. Em alguns casos, você precisa evitar que apenas determinadas regras sejam aplicadas; em outras palavras, você precisa permitir uma lista para uma regra, mas não para todas as regras. Esse é um cenário comum para lidar com falsos positivos para regras. Permitir listagem é considerada uma regra de amplo escopo. Para reduzir o potencial de falsos negativos, recomendamos que você a combine com outra opção mais granular, como uma correspondência de caminho ou cabeçalho.
## Controles baseados em IP
### Blocos de endereço IP único
Uma ferramenta comumente usada para mitigar o impacto dos bots é limitar as solicitações de um único solicitante. O exemplo mais simples é bloquear o endereço IP de origem do tráfego se suas solicitações forem maliciosas ou tiverem alto volume. Isso usa [regras de correspondência de conjuntos de AWS WAF IP](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-ipset-match.html) para implementar blocos baseados em IP. Essas regras correspondem aos endereços IP e aplicam uma ação de `Block``Challenge`, ou`CAPTCHA`. Você pode determinar quando muitas solicitações estão chegando de um endereço IP examinando a Rede de Entrega de Conteúdo (CDN), um firewall de aplicativo web ou registros de aplicativos e serviços. No entanto, na maioria dos casos, esse controle é impraticável sem automação.
A automatização de listas de bloqueio de endereços IP geralmente AWS WAF é feita com regras baseadas em taxas. Para obter mais informações, consulte [Regras com base em taxa](#rate-based-rules) neste guia. Você também pode implementar as [automações de segurança para a AWS WAF](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/welcome.html) solução. Essa solução atualiza automaticamente uma lista de endereços IP a serem bloqueados, e uma AWS WAF regra nega solicitações que correspondam a esses endereços IP.
Uma forma de reconhecer um ataque de bot é se várias solicitações do mesmo endereço IP se concentrarem em um pequeno número de páginas da web. Isso indica que o bot está cortando preços ou tentando repetidamente logins que falham em uma alta porcentagem. Você pode criar automações que reconheçam imediatamente esse padrão. As automações bloqueiam o endereço IP, o que reduz a eficácia do ataque ao identificá-lo e mitigá-lo rapidamente. O bloqueio de endereços IP específicos é menos eficaz quando um atacante tem uma grande coleção de endereços IP a partir dos quais lançar ataques ou quando o comportamento do ataque é difícil de reconhecer e separar do tráfego normal.
### Reputação do endereço IP
Um *serviço de reputação de IP* fornece inteligência que ajuda a avaliar a confiabilidade de um endereço IP. Essa inteligência geralmente é derivada da agregação de informações relacionadas ao IP de atividades passadas desse endereço IP. A atividade anterior ajuda a indicar a probabilidade de um endereço IP gerar solicitações maliciosas. Os dados são adicionados às listas gerenciadas que rastreiam o comportamento do endereço IP.
Endereços IP anônimos são um caso especializado de reputação de endereços IP. O endereço IP de origem se origina de fontes conhecidas de endereços IP facilmente adquiridos, como máquinas virtuais baseadas em nuvem, ou de proxies, como provedores de VPN conhecidos ou nós Tor. Os grupos de regras gerenciados da AWS WAF [Amazon IP Reputation List](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) [e Anonymous IP List](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) usam a inteligência interna de ameaças da Amazon para ajudar a identificar esses endereços IP.
A inteligência fornecida por essas listas gerenciadas pode ajudá-lo a agir sobre as atividades identificadas nessas fontes. Com base nessa inteligência, você pode criar regras que bloqueiam diretamente o tráfego ou regras que limitam o número de solicitações (como regras baseadas em taxas). Você também pode usar essa inteligência para avaliar a origem do tráfego usando as regras no `COUNT` modo. Isso examina os critérios de correspondência e aplica rótulos que você pode usar para criar regras personalizadas.
### Regras com base em taxa
As regras baseadas em taxas podem ser uma ferramenta valiosa para determinados cenários. Por exemplo, as regras baseadas em taxas são eficazes quando o tráfego de bots atinge altos volumes em comparação com usuários em identificadores de recursos uniformes confidenciais (URIs) ou quando o volume de tráfego começa a afetar as operações normais. A limitação de taxa pode manter as solicitações em níveis gerenciáveis e limitar e controlar o acesso. AWS WAF [pode implementar uma regra de limitação de taxa em uma [lista de controle de acesso à web (Web ACL)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) usando uma declaração de regra baseada em taxa.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html) Uma abordagem recomendada ao usar regras baseadas em taxas é incluir uma regra geral que abranja todo o site, regras específicas de URI e regras baseadas na taxa de reputação de IP. As regras baseadas na taxa de reputação de IP combinam a inteligência da reputação do endereço IP com a funcionalidade de limitação de taxa.
Para todo o site, uma regra geral baseada na taxa de reputação de IP cria um teto que impede que bots não sofisticados inundem um site a partir de um pequeno número de. IPs A limitação de taxa é especialmente recomendada para proteger URIs páginas com alto custo ou impacto, como páginas de login ou criação de conta.
As regras de limitação de taxa podem fornecer uma primeira camada de defesa econômica. Você pode usar regras mais avançadas para proteger pessoas sensíveis URIs. Regras baseadas em taxas específicas de URI podem limitar o impacto em páginas críticas ou APIs que afetam o back-end, como o acesso ao banco de dados. As mitigações avançadas para proteger determinadas URIs, que serão discutidas posteriormente neste guia, geralmente incorrem em custos adicionais, e essas regras baseadas em taxas específicas de URI podem ajudá-lo a controlar os custos. Para obter mais informações sobre as regras baseadas em taxas comumente recomendadas, consulte [As três regras baseadas em AWS WAF taxas mais importantes no Blog de Segurança](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/). AWS Em algumas situações, é útil limitar o tipo de solicitação avaliada por uma regra baseada em taxas. Você pode usar [instruções de escopo reduzido](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) para, por exemplo, limitar as regras baseadas em taxas pela área geográfica do endereço IP de origem.
AWS WAF oferece um recurso avançado para regras baseadas em taxas por meio do uso de chaves de [agregação](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-instances.html). Com essa funcionalidade, você pode configurar uma regra baseada em taxa para usar várias outras chaves de agregação e combinações de chaves, além do endereço IP de origem. Por exemplo, como uma única combinação, você pode agregar solicitações com base em um endereço IP encaminhado, no método HTTP e em um argumento de consulta. Isso ajuda você a configurar regras mais refinadas para mitigação sofisticada de tráfego volumétrico.
## Verificações intrínsecas
As *verificações intrínsecas* são vários tipos de validações ou verificações internas ou inerentes a um sistema ou processo. Para controle de bots, AWS WAF realiza uma verificação intrínseca validando se as informações enviadas na solicitação correspondem aos sinais do sistema. Por exemplo, ele realiza pesquisas reversas de DNS e outras verificações do sistema. Algumas solicitações automatizadas são necessárias, como solicitações relacionadas a SEO. Permitir a listagem é uma forma de permitir a entrada de bots bons e esperados. Mas, às vezes, bots maliciosos emulam bots bons, e pode ser difícil separá-los. AWS WAF fornece métodos para fazer isso por meio do [grupo de regras gerenciado do AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html). As regras desse grupo fornecem a verificação de que os bots autoidentificados são quem dizem ser. AWS WAF verifica os detalhes da solicitação em relação ao padrão conhecido desse bot e também realiza pesquisas reversas de DNS e outras verificações objetivas.
# Controles de identificação de clientes para gerenciar bots
Se o tráfego relacionado ao ataque não puder ser facilmente reconhecido por meio de atributos estáticos, a detecção precisará ser capaz de identificar com precisão o cliente que está fazendo a solicitação. Por exemplo, as regras baseadas em taxas geralmente são mais eficazes e difíceis de evitar quando o atributo com limite de taxa é específico do aplicativo, como um cookie ou token. O uso de um cookie vinculado a uma sessão impede que os operadores de botnets possam duplicar fluxos de solicitações semelhantes em muitos bots.
A aquisição de tokens é comumente usada para identificação de clientes. Para aquisição de tokens, um JavaScript código coleta informações para gerar um token que é avaliado no lado do servidor. A avaliação pode variar desde a verificação do que JavaScript está sendo executado no cliente até a coleta de informações do dispositivo para impressão digital. A aquisição do token requer a integração de um JavaScript SDK ao site ou aplicativo, ou exige que um provedor de serviços faça a injeção dinamicamente.
Exigir JavaScript suporte adiciona um obstáculo adicional para os bots que tentam emular navegadores. Quando um SDK está envolvido, como em um aplicativo móvel, a aquisição de tokens verifica a implementação do SDK e impede que os bots imitem as solicitações do aplicativo.
A aquisição de tokens requer o uso do SDKs implementado no lado do cliente da conexão. Os AWS WAF recursos a seguir fornecem um SDK JavaScript baseado em navegadores e um SDK baseado em aplicativos para dispositivos móveis: [Controle de bots](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html), controle de [fraudes, prevenção de aquisição de contas (ATP) e controle de fraudes, prevenção de [fraudes na criação de contas](https://docs.aws.amazon.com/waf/latest/developerguide/waf-acfp.html) (ACFP)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html).
As técnicas de identificação do cliente incluem CAPTCHA, perfil do navegador, impressão digital do dispositivo e impressão digital TLS.
## CAPTCHA
O teste de Turing público totalmente automatizado para diferenciar computadores e humanos ([CAPTCHA](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha.html)) é usado para distinguir entre visitantes robóticos e humanos e para evitar a captura de dados na web, o preenchimento de credenciais e o spam. Há uma variedade de implementações, mas elas geralmente envolvem um quebra-cabeça que um ser humano pode resolver. CAPTCHAsoferecem uma camada adicional de defesa contra bots comuns e podem reduzir os falsos positivos na detecção de bots.
AWS WAF permite que as regras executem uma ação CAPTCHA contra solicitações da web que correspondam aos critérios de inspeção de uma regra. Essa ação é o resultado da avaliação das informações de identificação do cliente coletadas pelo serviço. AWS WAF as regras podem exigir que os desafios do CAPTCHA sejam resolvidos para recursos específicos que são frequentemente alvos de bots, como login, pesquisa e envio de formulários. AWS WAF pode servir CAPTCHA diretamente por meios intersticiais ou usando um SDK para lidar com isso no lado do cliente. Para obter mais informações, consulte [CAPTCHA e Challenge in](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha-and-challenge.html). AWS WAF
## Criação de perfil do navegador
O *perfil do navegador* é um método de coletar e avaliar as características do navegador, como parte da aquisição de tokens, para distinguir humanos reais usando um navegador interativo da atividade distribuída de bots. Você pode realizar a criação de perfil do navegador passivamente por meio de cabeçalhos, ordem dos cabeçalhos e outras características das solicitações que são inerentes ao funcionamento dos navegadores.
Você também pode realizar a criação de perfil do navegador no código usando a aquisição de tokens. Ao usar JavaScript o perfil do navegador, você pode determinar rapidamente se um cliente oferece suporte JavaScript. Isso ajuda você a detectar bots simples que não o suportam. O perfil do navegador verifica mais do que apenas cabeçalhos e JavaScript suporte HTTP; o perfil do navegador dificulta que os bots emulem totalmente um navegador da web. As duas opções de perfil do navegador têm o mesmo objetivo: encontrar padrões em um perfil de navegador que indiquem inconsistência com o comportamento de um navegador real.
AWS WAF o controle de bots para bots direcionados fornece uma indicação, como parte da avaliação do token, de se um navegador mostra evidências de automação ou sinais inconsistentes. AWS WAF sinaliza a solicitação para realizar a ação especificada na regra. Para obter mais informações, consulte [Detectar e bloquear tráfego avançado de bots](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/) no Blog AWS de segurança.
## Impressão digital do dispositivo
A impressão digital do dispositivo é semelhante à criação de perfil do navegador, mas não se limita aos navegadores. O código executado em um dispositivo (que pode ser um dispositivo móvel ou um navegador da Web) coleta e reporta detalhes do dispositivo a um servidor de back-end. Os detalhes podem incluir atributos do sistema, como memória, tipo de CPU, tipo de kernel do sistema operacional (SO), versão do sistema operacional e virtualização.
Você pode usar a impressão digital do dispositivo para reconhecer se um bot está emulando um ambiente ou se há sinais diretos de que a automação está em uso. Além disso, a impressão digital do dispositivo também pode ser usada para reconhecer solicitações repetidas do mesmo dispositivo.
O reconhecimento de solicitações repetidas do mesmo dispositivo, mesmo que o dispositivo tente alterar algumas características da solicitação, permite que um sistema de back-end imponha regras de limitação de taxa. As regras de limitação de taxa baseadas na impressão digital do dispositivo geralmente são mais eficazes do que as regras de limitação de taxa baseadas em endereços IP. Isso ajuda você a reduzir o tráfego de bots que está alternando entre VPNs ou proxies, mas é proveniente de um pequeno número de dispositivos.
Quando usado com a integração de aplicativos SDKs, o controle de AWS WAF bots para bots direcionados pode agregar o comportamento da solicitação de sessão do cliente. Isso ajuda você a detectar e separar sessões de clientes legítimas de sessões de clientes mal-intencionados, mesmo quando ambas se originam do mesmo endereço IP. Para obter mais informações sobre o controle de AWS WAF bots para bots direcionados, consulte [Detectar e bloquear tráfego avançado de bots](https://aws.amazon.com/blogs/security/detect-and-block-advanced-bot-traffic/) no Blog AWS de segurança.
## Impressão digital TLS
A impressão digital TLS, também conhecida como *regras baseadas em assinatura,* é comumente usada quando os bots se originam de muitos endereços IP, mas apresentam características semelhantes. Ao usar HTTPS, os lados do cliente e do servidor trocam mensagens para reconhecer e verificar um ao outro. Eles estabelecem algoritmos criptográficos e chaves de sessão. Isso é chamado de *aperto de mão TLS*. A forma como um handshake TLS é implementado é uma assinatura que geralmente é valiosa para reconhecer grandes ataques espalhados por vários endereços IP.
A impressão digital TLS permite que os servidores web determinem a identidade de um cliente web com um alto grau de precisão. Ele requer somente os parâmetros na primeira conexão de pacote, antes que qualquer troca de dados do aplicativo ocorra. Nesse caso, *cliente web* se refere ao aplicativo que inicia uma solicitação, que pode ser um navegador, uma ferramenta de CLI, um script (bot), um aplicativo nativo ou outro cliente.
[Uma abordagem de impressão digital SSL e TLS é a impressão digital. JA3 ](https://github.com/salesforce/ja3) JA3imprime impressões digitais de uma conexão de cliente com base nos campos da mensagem Client Hello do handshake SSL ou TLS. Ele ajuda você a criar perfis de clientes SSL e TLS específicos em diferentes endereços IP de origem, portas e certificados X.509.
A Amazon CloudFront suporta a [adição de JA3 cabeçalhos](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-cloudfront-headers.html) às solicitações. Um `CloudFront-Viewer-JA3-Fingerprint` cabeçalho contém uma impressão digital de hash de 32 caracteres do pacote TLS Client Hello de uma solicitação recebida do visualizador. A impressão digital encapsula informações sobre como o cliente se comunica. Essas informações podem ser usadas para traçar o perfil de clientes que compartilham o mesmo padrão. Você pode adicionar o `CloudFront-Viewer-JA3-Fingerprint` cabeçalho a uma política de solicitação de origem e anexar a política a uma CloudFront distribuição. Em seguida, você pode inspecionar o valor do cabeçalho nos aplicativos de origem ou no Lambda @Edge CloudFront and Functions. Você pode comparar o valor do cabeçalho com uma lista de impressões digitais de malware conhecidas para bloquear os clientes mal-intencionados. Você também pode comparar o valor do cabeçalho com uma lista de impressões digitais esperadas para permitir solicitações somente de clientes conhecidos.
# Controles avançados de análise para gerenciar bots
Alguns bots empregam ferramentas avançadas de engano para evitar ativamente a detecção. Esses bots imitam o comportamento humano para realizar uma atividade específica, como escalpelamento. Esses bots têm um propósito e geralmente estão vinculados a uma grande recompensa monetária.
Esses bots avançados e persistentes usam uma combinação de tecnologias para evitar a detecção ou se misturar ao tráfego normal. Por sua vez, isso também requer uma combinação de diferentes tecnologias de detecção para identificar e mitigar com precisão o tráfego malicioso.
## Casos de uso direcionados
Os dados de casos de uso podem oferecer oportunidades de detecção de bots. *As detecções de fraudes* são casos de uso especiais em que uma mitigação especial é garantida. Por exemplo, para ajudar a evitar invasões de contas, você pode comparar uma lista de nomes de usuário e senhas de contas comprometidas com solicitações de login ou criação de conta. Isso ajuda os proprietários de sites a detectar tentativas de login que usam credenciais comprometidas. O uso de credenciais comprometidas pode indicar que bots estão tentando invadir uma conta, ou podem ser usuários que não sabem que suas credenciais estão comprometidas. Nesse caso de uso, os proprietários de sites podem tomar medidas adicionais para verificar o usuário e depois ajudá-lo a alterar a senha. AWS WAF fornece a regra gerenciada de [prevenção de aquisição de contas (ATP) de controle de fraudes](https://docs.aws.amazon.com/waf/latest/developerguide/waf-atp.html) para esse caso de uso.
## Detecção de bots agregados ou em nível de aplicativo
Alguns casos de uso exigem a combinação de dados sobre solicitações da rede de distribuição de conteúdo (CDN) e do back-end do aplicativo ou serviço. AWS WAFÀs vezes, você até precisa integrar inteligência de terceiros para poder tomar decisões de alta confiança sobre bots.
[Funciona na [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) e AWS WAF pode enviar sinais para a infraestrutura de back-end ou, posteriormente, agregar regras por meio de cabeçalhos e rótulos.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) CloudFront expõe cabeçalhos JA3 de impressão digital, conforme mencionado anteriormente. Este é um exemplo de CloudFront fornecimento desses dados por meio de um cabeçalho. AWS WAF pode enviar etiquetas quando corresponderem a uma regra. As regras subsequentes podem usar esses rótulos para tomar melhores decisões sobre bots. Quando várias regras são combinadas, você pode implementar controles altamente granulares. Um caso de uso comum é combinar partes de uma regra gerenciada por meio de um rótulo e depois combiná-la com outros dados de solicitação. Para obter mais informações, consulte [Exemplos de correspondência de rótulos](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-label-match-examples.html) na AWS WAF documentação.
## Análise de aprendizado de máquina
O aprendizado de máquina (ML) é uma técnica poderosa para lidar com bots. O ML pode se adaptar às mudanças nos detalhes e, quando combinado com outras ferramentas, fornece a maneira mais robusta e completa de mitigar bots com o mínimo de falsos positivos. As duas técnicas mais comuns de ML são *análise comportamental* e *detecção de anomalias*. Com a análise comportamental, um sistema (no cliente, no servidor ou em ambos) monitora como o usuário interage com o aplicativo ou site. Ele monitora os padrões de movimento do mouse ou a frequência das interações de clique e toque. O comportamento é então analisado com um modelo de ML para reconhecer bots. A detecção de anomalias é semelhante. Ele se concentra em detectar comportamentos ou padrões que são significativamente diferentes de uma linha de base definida para o aplicativo ou site.
AWS WAF controles direcionados para bots fornecem tecnologia de ML preditiva. Essa tecnologia ajuda a se defender contra ataques distribuídos baseados em proxy, feitos por bots projetados para evitar a detecção. O [grupo gerenciado de regras de controle de AWS WAF bots](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) usa análise automatizada de ML das estatísticas de tráfego do site para detectar comportamentos anômalos que são indicativos de atividades de bots distribuídas e coordenadas.