Немезида ВАФ позволяет в автоматическом режиме бороться с атаками методом перебора, флуда и DDoS и активностью паразитных ботов.
Настройка
Личный кабинет позволяет настраивать параметры Немезида ВАФ для защиты веб-приложения от атак методом перебора, флуда и DDoS, используя веб-интерфейс. Для активации функционала необходимо выполнить следующие действия:
1. Произведите минимальные настройки на серверах с установленными модулями Немезида ВАФ;
2. Задайте условие автоматической блокировки IP-адреса источника запросов:
3. Активируйте функционал, добавив необходимые параметры:
- Временной интервал отрезка (окна), в течение которого производится анализ запросов;
- URL-адреса, для которых будет активирован механизм выявления атак методом перебора;
- URL-адреса, для которых будет активирован механизм выявления флуда;
- Количество запросов в рамках окна, при достижении значения которого запускается механизм анализа.
При активации опций рекомендуется исключать из анализа запросы, поступающие с доверенных IP-адресов и подсетей (например, IP-адреса администраторов, разработчиков и т.д.).
При активации механизма выявления атак методом перебора и флуда использовать значения без указания URL-адреса конкретного ресурса (например, example.com или example.com/) запрещено в целях обеспечения корректной работы опции.
Из-за специфики атак, на их выявление и блокировку источника запросов требуется некоторое время и если атака уже происходит, а Nemesida AI MLC еще не заблокировал источник запросов, администратор может самостоятельно выявить признаки атаки при помощи информации из Личного кабинета и на их основе заблокировать атаку, используя функционал составления расширенных правил блокировки (ERL).
При создании правила блокировки (на период проведения атаки) рекомендуем обращать внимание на следующие признаки:
- запросы, поступающие из популярных, для подобных атак, стран (например: Таиланд, Индия, Китай, Индонезия, Вьетнам и т.д.), но из которых не ожидаются запросы легитимных пользователей;
- признаки нелегитимных запросов: подозрительный
User-Agent, наличие/отсутствие определенного значенияCookieи т.д.
Примеры правил
Блокировка по странам
Составленное правило будет блокировать запросы, которые поступают из стран, обращения из которых не ожидаются к сайту example.com:
Блокировка по User-Agent
Составленное правило будет блокировать запросы, поступающие с подозрительным значением заголовка User-Agent:
Блокировка по X-Forwarder-For
Заголовок X-Forwarder-For добавляется к запросам, если при обращении к веб-приложению используется прокси-сервер. Составленное правило будет блокировать запросы, поступающие на URL /login.php сайта example.com, если в заголовках присутствует X-Forwarder-For:
Блокировка по отсутствию заголовка Cookie
Cookie — набор данных, отправляемый веб-сервером браузеру пользователя. Они необходимы для упрощения идентификации пользователя веб-приложения и автоматически присваиваются каждому пользователю, посещающему веб-приложение. Если для доступа к защищенным разделам веб-приложения требуется пройти аутентификацию, то пользователи перенаправляются (переходят) на страницу аутентификации с теми Cookie, которые были присвоены ему ранее. Во время атаки методом перебора (Brute-force) злоумышленики могут генерировать специальные запросы, позволяющие обратиться к странице аутентификации напрямую и пройти аутентификацию, не получая Cookie от веб-приложения. Если подход, при котором пользователь может генерировать запросы, не получая Cookie, применим к вашему веб-приложению, то для предотвращения атаки на страницу аутентификации вы можете составить правило блокировки, где отсутствие заголовка Cookie будет являться условием блокировки запроса. Например, следующее правило будет блокировать запросы, поступающие на URL-адрес example.com/admin/login.php, если в заголовках отсутствует заголовок Cookie:
