推出 的新主控台體驗 AWS WAF
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS WAF 機器人控制規則群組
本節說明 Bot Control 受管規則群組的功能。
VendorName:AWS、Name:AWSManagedRulesBotControlRuleSet
注意
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的資訊,請使用 API 命令 DescribeManagedRuleGroup。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 AWS 支援 中心
Bot Control 受管規則群組提供規則來管理來自機器人的請求。機器人可能會消耗過多的資源、扭曲業務指標、造成停機時間,以及執行惡意活動。
保護層級
Bot Control 受管規則群組提供兩種層級的保護,您可以從中選擇:
-
常見 – 偵測各種自我識別機器人,例如 Web 抓取架構、搜尋引擎和自動化瀏覽器。此層級的機器人控制保護會使用傳統機器人偵測技術來識別常見的機器人,例如靜態請求資料分析。規則會標記來自這些機器人的流量,並封鎖他們無法驗證的流量。
-
目標型 – 包含共同層級的保護,並為無法自我識別的複雜機器人新增目標型偵測。針對性保護會使用速率限制和 CAPTCHA 和背景瀏覽器挑戰的組合來緩解機器人活動。
TGT_– 提供目標保護的規則具有以 開頭的名稱TGT_。所有目標防護都使用瀏覽器查詢、指紋和行為啟發式等偵測技術來識別錯誤的機器人流量。TGT_ML_– 使用機器學習的目標保護規則具有以 開頭的名稱TGT_ML_。這些規則使用網站流量統計資料的自動化機器學習分析來偵測指示分散式、協調機器人活動的異常行為。 AWS WAF 會分析網站流量的統計資料,例如時間戳記、瀏覽器特性和先前造訪的 URL,以改善 Bot Control 機器學習模型。預設會啟用機器學習功能,但您可以在規則群組組態中停用這些功能。停用機器學習時, AWS WAF 不會評估這些規則。
目標保護層級和速率 AWS WAF 型規則陳述式都提供速率限制。如需兩個選項的比較,請參閱 速率型規則和目標 Bot Control 規則中速率限制的選項。
使用此規則群組的考量事項
此規則群組是 中智慧型威脅防禦保護的一部分 AWS WAF。如需相關資訊,請參閱中的智慧型威脅防禦 AWS WAF。
注意
當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱AWS WAF 定價
若要降低成本,並確保您視需要管理 Web 流量,請根據 中的指引使用此規則群組中的智慧型威脅防禦最佳實務 AWS WAF。
我們會定期更新目標防護層級 ML 型規則的機器學習 (ML) 模型,以改善機器人預測。ML 型規則的名稱開頭為 TGT_ML_。如果您注意到這些規則所做的機器人預測突然發生重大變更,請透過您的客戶經理聯絡我們,或在 AWS 支援 Center
此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件或 Web ACL 中此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤和 標籤指標和維度。
字符標籤
此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態來檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。
如需字符和字符管理的資訊,請參閱 用於 AWS WAF 智慧型威脅緩解的字符。
如需此處所述的標籤元件資訊,請參閱 中的標籤語法和命名需求 AWS WAF。
用戶端工作階段標籤
標籤awswaf:managed:token:id:包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。identifier
注意
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
瀏覽器指紋標籤
標籤awswaf:managed:token:fingerprint:包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。fingerprint-identifier
注意
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
字符狀態標籤:標籤命名空間字首
字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。
每個字符狀態標籤都以下列其中一個命名空間字首開頭:
awswaf:managed:token:– 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。awswaf:managed:captcha:– 用來報告字符 CAPTCHA 資訊的狀態。
字符狀態標籤:標籤名稱
在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:
accepted– 請求字符存在並包含下列項目:有效的挑戰或 CAPTCHA 解決方案。
未過期的挑戰或 CAPTCHA 時間戳記。
適用於保護套件或 Web ACL 的網域規格。
範例:標籤
awswaf:managed:token:accepted指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。-
rejected– 請求字符存在,但不符合接受條件。除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。
rejected:not_solved– 字符缺少挑戰或 CAPTCHA 解決方案。rejected:expired– 權杖的挑戰或 CAPTCHA 時間戳記已過期,取決於您的保護套件或 Web ACL 設定的權杖抗擾性時間。rejected:domain_mismatch– 字符的網域不符合您的保護套件或 Web ACL 的字符網域組態。rejected:invalid– AWS WAF 無法讀取指定的字符。
範例:標籤
awswaf:managed:captcha:rejected和awswaf:managed:captcha:rejected:expired一起指出請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件或 Web ACL 中設定的 CAPTCHA 字符豁免時間。 -
absent– 請求沒有字符或字符管理器無法讀取。範例:標籤
awswaf:managed:captcha:absent表示請求沒有字符。
機器人控制標籤
Bot Control 受管規則群組會產生具有命名空間字首的標籤,awswaf:managed:aws:bot-control:後面接著自訂命名空間和標籤名稱。規則群組可能會將多個標籤新增至請求。
每個標籤都會反映 Bot Control 規則調查結果:
-
awswaf:managed:aws:bot-control:bot:– 與請求相關聯之機器人的相關資訊。-
awswaf:managed:aws:bot-control:bot:name:– 機器人名稱,如果有的話,例如,自訂命名空間<name>bot:name:slurp、bot:name:googlebot和bot:name:pocket_parser。 -
awswaf:managed:aws:bot-control:bot:category:– 機器人的類別,如 和 AWS WAF<category>bot:category:search_engine所定義bot:category:content_fetcher。 -
awswaf:managed:aws:bot-control:bot:organization:– 機器人的發佈者,例如<organization>bot:organization:google。 -
awswaf:managed:aws:bot-control:bot:verified– 用來指示識別自己且 Bot Control 能夠驗證的機器人。這用於常見的所需機器人,當與類別標籤如bot:category:search_engine或名稱標籤如 結合使用時非常有用bot:name:googlebot。注意
Bot Control 會使用來自 Web 請求原始伺服器的 IP 地址,協助判斷機器人是否已驗證。您無法將其設定為使用 AWS WAF 轉送的 IP 組態,以檢查不同的 IP 地址來源。如果您已驗證透過代理或負載平衡器路由的機器人,您可以新增在 Bot Control 規則群組之前執行的規則,以協助處理此問題。設定您的新規則以使用轉送的 IP 地址,並明確允許來自已驗證機器人的請求。如需使用轉送 IP 地址的詳細資訊,請參閱 在 中使用轉送的 IP 地址 AWS WAF。
-
awswaf:managed:aws:bot-control:bot:user_triggered:verified– 用來表示類似於已驗證機器人的機器人,但最終使用者可能會直接叫用。機器人控制規則會將此類別的機器人視為未驗證的機器人。 -
awswaf:managed:aws:bot-control:bot:developer_platform:verified– 用來表示與已驗證的機器人類似的機器人,但開發人員平台用來編寫指令碼,例如 Google Apps Script。機器人控制規則會將此類別的機器人視為未驗證的機器人。 -
awswaf:managed:aws:bot-control:bot:unverified– 用來指示識別自己的機器人,因此可以命名和分類,但不會發佈可用來獨立驗證其身分的資訊。這些類型的機器人簽章可能是偽造的,因此會被視為未驗證。
-
-
awswaf:managed:aws:bot-control:targeted:– 用於 Bot Control 目標保護特有的標籤。<additional-details> -
awswaf:managed:aws:bot-control:signal:和<signal-details>awswaf:managed:aws:bot-control:targeted:signal:– 用於在某些情況下提供有關請求的其他資訊。<signal-details>以下是訊號標籤的範例。這不是詳盡的清單:
-
awswaf:managed:aws:bot-control:signal:cloud_service_provider:– 表示請求的雲端服務提供者 (CSP)。CSPs 的範例包括<CSP>awsAmazon Web Services 基礎設施、gcpGoogle Cloud Platform (GCP) 基礎設施、azureMicrosoft Azure 雲端服務和 Oracle Cloudoracle服務。 -
awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension– 指出協助自動化的瀏覽器延伸模組偵測,例如 Selenium IDE。每當使用者安裝了這種類型的延伸模組時,就會新增此標籤,即使使用者未主動使用也一樣。如果您為此實作標籤比對規則,請注意在規則邏輯和動作設定中出現誤報的可能性。例如,您可以使用 CAPTCHA動作,而不是 Block,或者您可以將此標籤比對與其他標籤比對結合,以提高您使用自動化的信心。
-
awswaf:managed:aws:bot-control:signal:automated_browser– 表示請求包含用戶端瀏覽器可能已自動化的指標。 -
awswaf:managed:aws:bot-control:targeted:signal:automated_browser– 表示請求的 AWS WAF 字符包含用戶端瀏覽器可能已自動化的指標。
-
您可以透過 API 呼叫 來擷取規則群組的所有標籤DescribeManagedRuleGroup。這些標籤會列在回應的 AvailableLabels 屬性中。
Bot Control 受管規則群組會將標籤套用至一組通常允許的可驗證機器人。規則群組不會封鎖這些已驗證的機器人。如果需要,您可以編寫使用 Bot Control 受管規則群組所套用標籤的自訂規則來封鎖它們或其中一部分。如需此 和範例的詳細資訊,請參閱 AWS WAF 機器人控制。
機器人控制規則清單
本節列出機器人控制規則。
注意
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的資訊,請使用 API 命令 DescribeManagedRuleGroup。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 AWS 支援 中心
| 規則名稱 | 描述 |
|---|---|
CategoryAdvertising |
檢查用於廣告目的的機器人。例如,您可以使用需要以程式設計方式存取網站的第三方廣告服務。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategoryArchiver |
檢查用於封存目的的機器人。這些機器人會爬取 Web 並擷取內容,以建立封存。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategoryContentFetcher |
檢查代表使用者造訪應用程式網站的機器人、擷取 RSS 摘要等內容,或驗證或驗證您的內容。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategoryEmailClient |
檢查機器人是否檢查指向應用程式網站的電子郵件中的連結。這可能包括由企業和電子郵件供應商執行的機器人,以驗證電子郵件中的連結並標記可疑的電子郵件。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategoryHttpLibrary |
檢查機器人從各種程式設計語言的 HTTP 程式庫產生的請求。這些可能包括您選擇允許或監控的 API 請求。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategoryLinkChecker |
檢查檢查檢查連結是否損壞的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategoryMiscellaneous |
檢查其他不符合其他類別的機器人。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategoryMonitoring |
檢查用於監控目的的機器人。例如,您可以使用機器人監控服務來定期 ping 應用程式網站,以監控效能和運作時間等項目。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategoryScrapingFramework |
檢查來自 Web 抓取架構的機器人,這些架構用於自動從網站爬取和擷取內容。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategorySearchEngine |
檢查搜尋引擎機器人,哪些網路爬取網站編製內容索引,並使資訊可用於搜尋引擎結果。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategorySecurity |
檢查掃描 Web 應用程式是否有漏洞或執行安全稽核的機器人。例如,您可以使用第三方安全廠商來掃描、監控或稽核 Web 應用程式的安全性。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategorySeo |
檢查用於搜尋引擎最佳化的機器人。例如,您可以使用搜尋引擎工具來編目您的網站,以協助您改善搜尋引擎排名。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategorySocialMedia |
檢查社交媒體平台所使用的機器人,以便在使用者共用您的內容時提供內容摘要。 規則動作,僅適用於未驗證的機器人: Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不採取任何動作,但會新增機器人名稱和類別標籤加上標籤 |
CategoryAI |
檢查人工智慧 (AI) 機器人。 注意此規則會將 動作套用至所有相符項目,無論機器人是否經過驗證。 規則動作:Block 標籤: 對於已驗證的機器人,規則群組符合此規則並採取 動作。它還會新增機器人名稱和類別標籤、規則標籤,以及標籤 |
SignalAutomatedBrowser |
檢查未來自已驗證機器人的請求,是否有可能自動化用戶端瀏覽器的指標。自動化瀏覽器可用於測試或抓取。例如,您可以使用這些類型的瀏覽器來監控或驗證您的應用程式網站。 規則動作:Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 |
SignalKnownBotDataCenter |
檢查未來自已驗證機器人的請求,是否有通常由機器人使用的資料中心指標。 規則動作:Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 |
SignalNonBrowserUserAgent |
檢查不是來自已驗證機器人的請求,是否有似乎不是來自 Web 瀏覽器的使用者代理程式字串。此類別可以包含 API 請求。 規則動作:Block 標籤: 對於已驗證的機器人,規則群組不符合此規則,且不會套用任何訊號或規則標籤。 |
TGT_VolumetricIpTokenAbsent |
檢查過去 5 分鐘內未來自已驗證機器人的請求,其中包含來自單一用戶端的 5 個或更多請求,而該請求不包含有效的挑戰字符。如需字符的資訊,請參閱 用於 AWS WAF 智慧型威脅緩解的字符。 注意如果來自相同用戶端的請求最近缺少字符,則此規則可能符合具有字符的請求。 此規則套用的閾值可能因延遲而略有不同。 此規則處理遺失字符的方式與字符標籤不同: 規則動作:Challenge 標籤: |
TGT_TokenAbsent |
檢查未來自未包含有效挑戰字符之已驗證機器人的請求。如需字符的資訊,請參閱 用於 AWS WAF 智慧型威脅緩解的字符。 規則動作:Count 標籤: |
TGT_VolumetricSession |
檢查是否有異常大量的請求,這些請求不是來自 5 分鐘內來自單一用戶端工作階段的已驗證機器人。評估是根據與使用歷史流量模式 AWS WAF 維護之標準容積基準的比較。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 注意此規則在您啟用後可能需要 5 分鐘才會生效。Bot Control 透過比較目前的流量與 AWS WAF 運算的流量基準,來識別 Web 流量中的異常行為。 規則動作:CAPTCHA 標籤: 規則群組會將下列標籤套用至高於最低閾值的中等磁碟區和較低磁碟區請求。對於這些層級,無論用戶端是否已驗證: |
TGT_VolumetricSessionMaximum |
檢查是否有異常大量的請求,這些請求不是來自 5 分鐘內來自單一用戶端工作階段的已驗證機器人。評估是根據與使用歷史流量模式 AWS WAF 維護之標準容積基準的比較。 此規則表示評估的最大可信度。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 注意此規則在您啟用後可能需要 5 分鐘才會生效。Bot Control 透過比較目前的流量與 AWS WAF 運算的流量基準,來識別 Web 流量中的異常行為。 規則動作:Block 標籤: |
TGT_SignalAutomatedBrowser |
檢查未來自已驗證機器人之請求的字符,是否有可能自動化用戶端瀏覽器的指標。如需詳細資訊,請參閱AWS WAF 字符特性。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 規則動作:CAPTCHA 標籤: |
TGT_SignalBrowserAutomationExtension |
檢查不是來自已驗證機器人的請求,指出存在協助自動化的瀏覽器延伸模組,例如 Selenium IDE。每當使用者安裝這種類型的延伸模組時,即使他們沒有主動使用,此規則都會相符。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 規則動作:CAPTCHA 標籤: |
TGT_SignalBrowserInconsistency |
檢查來自已驗證機器人的請求是否有不一致的瀏覽器查詢資料。如需詳細資訊,請參閱AWS WAF 字符特性。 此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊,請參閱用於 AWS WAF 智慧型威脅緩解的字符。 規則動作:CAPTCHA 標籤: |
TGT_ML_CoordinatedActivityLow,
TGT_ML_CoordinatedActivityMedium,
TGT_ML_CoordinatedActivityHigh
|
檢查來自已驗證機器人的請求是否有與分散式、協調機器人活動一致的異常行為。規則層級表示一組請求是協同攻擊參與者的可信度層級。 注意只有在規則群組設定為使用機器學習 (ML) 時,才會執行這些規則。如需設定此選項的詳細資訊,請參閱 將 AWS WAF Bot Control 受管規則群組新增至 Web ACL。 注意這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 AWS WAF 透過網站流量統計資料的機器學習分析來執行此檢查。 會每幾分鐘 AWS WAF 分析一次 Web 流量,並最佳化分析,以偵測分散在許多 IP 地址的低強度、長時間機器人。 這些規則在判斷協調式攻擊尚未進行之前,可能會在非常少量的請求上相符。因此,如果您只看到一兩個相符項目,則結果可能是誤報。不過,如果您看到這些規則出現許多相符項目,則可能正經歷協同攻擊。 注意在您使用 ML 選項啟用 Bot Control 目標規則後,這些規則最多可能需要 24 小時才會生效。Bot Control 會將目前的流量與已計算的 AWS WAF 流量基準進行比較,藉此識別 Web 流量中的異常行為。當您使用 Bot Control 目標規則搭配 ML 選項時, AWS WAF 只會計算基準,而且最多可能需要 24 小時才能建立有意義的基準。 我們會定期更新這些規則的機器學習模型,以改善機器人預測。如果您注意到這些規則所做的機器人預測突然發生重大變更,請聯絡您的客戶經理或在 AWS 支援 Center 規則動作:
標籤: |
TGT_TokenReuseIpLow,
TGT_TokenReuseIpMedium,
TGT_TokenReuseIpHigh
|
檢查未來自已驗證機器人的請求,以在過去 5 分鐘內在多個 IPs 中使用單一字符。每個層級都有不同 IPs 的數量限制:
注意這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:
標籤: |
TGT_TokenReuseCountryLow,
TGT_TokenReuseCountryMedium,
TGT_TokenReuseCountryHigh
|
檢查未來自已驗證機器人的請求,是否在過去 5 分鐘內跨多個國家使用單一字符。每個層級都有不同國家/地區的數量限制:
注意這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:
標籤: |
TGT_TokenReuseAsnLow,
TGT_TokenReuseAsnMedium,
TGT_TokenReuseAsnHigh
|
檢查未來自已驗證機器人的請求,是否在過去 5 分鐘內跨多個聯網自動系統編號 (ASNs) 使用單一字符。每個層級都有不同 ASNs 的數量限制:
注意這些規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:
標籤: |
