Противодействие атакам DDoS/Brute-force/Flood с помощью Немезида ВАФ | Немезида ВАФ

Немезида ВАФ позволяет в автоматическом режиме бороться с атаками методом перебора, флуда и DDoS и активностью паразитных ботов.

Настройка

Личный кабинет позволяет настраивать параметры Немезида ВАФ для защиты веб-приложения от атак методом перебора, флуда и DDoS, используя веб-интерфейс. Для активации функционала необходимо выполнить следующие действия:

1. Произведите минимальные настройки на серверах с установленными модулями Немезида ВАФ;

2. Задайте условие автоматической блокировки IP-адреса источника запросов:

3. Активируйте функционал, добавив необходимые параметры:

  • Временной интервал отрезка (окна), в течение которого производится анализ запросов;
  • URL-адреса, для которых будет активирован механизм выявления атак методом перебора;
  • URL-адреса, для которых будет активирован механизм выявления флуда;
  • Количество запросов в рамках окна, при достижении значения которого запускается механизм анализа.

При активации опций рекомендуется исключать из анализа запросы, поступающие с доверенных IP-адресов и подсетей (например, IP-адреса администраторов, разработчиков и т.д.).

При активации механизма выявления атак методом перебора и флуда использовать значения без указания URL-адреса конкретного ресурса (например, example.com или example.com/) запрещено в целях обеспечения корректной работы опции.

Из-за специфики атак, на их выявление и блокировку источника запросов требуется некоторое время и если атака уже происходит, а Nemesida AI MLC еще не заблокировал источник запросов, администратор может самостоятельно выявить признаки атаки при помощи информации из Личного кабинета и на их основе заблокировать атаку, используя функционал составления расширенных правил блокировки (ERL).

При создании правила блокировки (на период проведения атаки) рекомендуем обращать внимание на следующие признаки:

  • запросы, поступающие из популярных, для подобных атак, стран (например: Таиланд, Индия, Китай, Индонезия, Вьетнам и т.д.), но из которых не ожидаются запросы легитимных пользователей;
  • признаки нелегитимных запросов: подозрительный User-Agent, наличие/отсутствие определенного значения Cookie и т.д.

Примеры правил

Блокировка по странам

Составленное правило будет блокировать запросы, которые поступают из стран, обращения из которых не ожидаются к сайту example.com:

Блокировка по User-Agent

Составленное правило будет блокировать запросы, поступающие с подозрительным значением заголовка User-Agent:

Блокировка по X-Forwarder-For

Заголовок X-Forwarder-For добавляется к запросам, если при обращении к веб-приложению используется прокси-сервер. Составленное правило будет блокировать запросы, поступающие на URL /login.php сайта example.com, если в заголовках присутствует X-Forwarder-For:

Блокировка по отсутствию заголовка Cookie

Cookie — набор данных, отправляемый веб-сервером браузеру пользователя. Они необходимы для упрощения идентификации пользователя веб-приложения и автоматически присваиваются каждому пользователю, посещающему веб-приложение. Если для доступа к защищенным разделам веб-приложения требуется пройти аутентификацию, то пользователи перенаправляются (переходят) на страницу аутентификации с теми Cookie, которые были присвоены ему ранее. Во время атаки методом перебора (Brute-force) злоумышленики могут генерировать специальные запросы, позволяющие обратиться к странице аутентификации напрямую и пройти аутентификацию, не получая Cookie от веб-приложения. Если подход, при котором пользователь может генерировать запросы, не получая Cookie, применим к вашему веб-приложению, то для предотвращения атаки на страницу аутентификации вы можете составить правило блокировки, где отсутствие заголовка Cookie будет являться условием блокировки запроса. Например, следующее правило будет блокировать запросы, поступающие на URL-адрес example.com/admin/login.php, если в заголовках отсутствует заголовок Cookie: