本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理機器人的靜態控制
若要採取動作,*靜態控制項*會評估來自 HTTP(S) 請求的靜態資訊,例如其 IP 地址或其標頭。這些控制對於低複雜度的不良機器人活動或需要驗證和管理的預期有益機器人流量非常有用。靜態控制技術包括:允許列出、以 IP 為基礎的控制和內部檢查。
## 允許列出
允許列出是允許透過現有機器人緩解控制識別的易記流量的控制項。有各種方式可以達成此目標。最簡單的是使用[符合一組 IP 地址](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html)或類似相符條件的規則。當請求符合設定為 `Allow`動作的規則時,後續規則不會評估該請求。在某些情況下,您只需要防止某些規則受到處理;換句話說,您需要允許一個規則的清單,但並非所有規則。這是處理規則誤報的常見案例。允許清單視為廣範圍規則。為了降低誤報的可能性,建議您將其與另一個更精細的選項配對,例如路徑或標頭比對。
## IP 型控制
### 單一 IP 地址區塊
緩解機器人影響的常用工具是限制來自單一請求者的請求。最簡單的範例是,如果流量的請求是惡意或大量,則封鎖流量的來源 IP 地址。這會使用 AWS WAF [IP 集比對規則](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-ipset-match.html)來實作 IP 型區塊。這些規則符合 IP 地址,並套用 `Block`、 `Challenge`或 的動作`CAPTCHA`。您可以透過查看內容交付網路 (CDN)、Web 應用程式防火牆或應用程式和服務日誌,來判斷來自 IP 地址的請求是否太多。不過,在大多數情況下,如果沒有自動化,此控制是不切實際的。
在 中自動化 IP 地址區塊清單 AWS WAF 通常使用以速率為基礎的規則來完成。如需詳細資訊,請參閱本指南中的 [速率為基礎的規則](#rate-based-rules)。您也可以實作 [解決方案的安全自動化 AWS WAF](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/welcome.html)。此解決方案會自動更新要封鎖的 IP 地址清單,且 AWS WAF 規則會拒絕符合這些 IP 地址的請求。
識別機器人攻擊的一種方法是,如果來自相同 IP 地址的大量請求專注於少量網頁。這表示機器人正在淘汰價格,或重複嘗試以高百分比失敗的登入。您可以建立可立即辨識此模式的自動化。自動化會封鎖 IP 地址,透過快速識別和緩解來降低攻擊的有效性。當攻擊者擁有大量 IP 地址來啟動攻擊,或攻擊行為難以辨識並與正常流量分開時,封鎖特定 IP 地址會較不有效。
### IP 地址評價
*IP 評價服務*提供的智慧有助於評估 IP 地址的可信度。此智慧通常衍生自從該 IP 地址彙總過去活動的 IP 相關資訊。先前的活動有助於指出 IP 地址產生惡意請求的可能性。資料會新增至追蹤 IP 地址行為的受管清單。
匿名 IP 地址是 IP 地址評價的特殊案例。來源 IP 地址來自易取得 IP 地址的已知來源,例如雲端虛擬機器,或來自代理,例如已知 VPN 提供者或 Tor 節點。 AWS WAF [Amazon IP 評價清單](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon)和[匿名 IP 清單受管](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous)規則群組會使用 Amazon 內部威脅情報來協助識別這些 IP 地址。
這些受管清單提供的智慧可協助您對從這些來源識別的活動採取行動。根據此智慧,您可以建立直接封鎖流量的規則,或限制請求數量的規則 (例如以速率為基礎的規則)。您也可以使用此智慧,在 `COUNT` 模式中使用規則來評估流量的來源。這會檢查比對條件,並套用可用來建立自訂規則的標籤。
### 速率為基礎的規則
對於某些案例而言,以速率為基礎的規則可能是寶貴的工具。例如,與敏感統一資源識別符 (URIs) 中的使用者相比,當機器人流量達到高磁碟區,或流量開始影響正常操作時,速率型規則是有效的。速率限制可將請求保持在可管理層級,並限制和控制存取。 AWS WAF 可以使用以速率為基礎的規則陳述式,在 [Web 存取控制清單 (Web ACL)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html) 中實作速率限制規則。 [https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html)使用速率型規則的建議方法是包含涵蓋整個網站、URI 特定規則和 IP 評價型規則的括住規則。IP 評價率型規則結合了 IP 地址評價的智慧與速率限制功能。
對於整個網站,以空白 IP 評價率為基礎的規則會建立上限,以防止不複雜的機器人從少量 IPs 淹沒網站。特別建議將速率限制用於保護具有高成本或影響URIs,例如登入或帳戶建立頁面。
速率限制規則可提供具成本效益的第一層防禦。您可以使用更進階的規則來保護敏感URIs。URI 特定速率型規則可以限制對關鍵頁面或影響後端APIs 的影響,例如資料庫存取。保護本指南稍後討論的特定 URIs的進階緩解措施通常會產生額外費用,而這些 URI 特定速率型規則可協助您控制成本。如需常用建議速率型規則的詳細資訊,請參閱 [安全部落格中的三個最重要的 AWS WAF 速率型規則](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/)。 AWS 在某些情況下,限制以速率為基礎的規則評估的請求類型會很有用。您可以使用[縮小範圍陳述式](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html),例如,依來源 IP 地址的地理區域限制以速率為基礎的規則。
AWS WAF 透過使用[彙總金鑰](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-instances.html)為以速率為基礎的規則提供進階功能。透過此功能,您可以設定速率型規則,以使用來源 IP 地址以外的各種其他彙總金鑰和金鑰組合。例如,作為單一組合,您可以根據轉送的 IP 地址、HTTP 方法和查詢引數彙總請求。這可協助您為複雜的容積流量緩解設定更精細的規則。
## 內部檢查
*內部檢查*是系統或程序內各種類型的內部或固有驗證或驗證。對於機器人控制, AWS WAF 驗證請求中傳送的資訊是否符合系統訊號,以執行內部檢查。例如,它會執行反向 DNS 查詢和其他系統驗證。有些自動化請求是必要的,例如 SEO 相關請求。允許列出是允許良好、預期的機器人通過的方法。但有時候,惡意機器人會模擬良好的機器人,而將它們分開可能很困難。 AWS WAF 提供透過受管[AWS WAF 機器人控制規則群組](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html)達成此目標的方法。此群組中的規則可驗證自我識別的機器人是他們所說的身分。 會根據該機器人的已知模式 AWS WAF 檢查請求的詳細資訊,也會執行反向 DNS 查詢和其他目標驗證。