의심스러운 활동에 대한 조치

Apigee Edge 문서입니다.
Apigee X 문서로 이동
정보

요청을 차단하거나 API 프록시 내에서 특별 처리하도록 플래그를 지정하는 등 의심스러운 요청을 가로채는 조치를 취할 수 있습니다. 특정 IP 주소의 요청을 명시적으로 허용하는 조치를 취할 수도 있습니다.

액션의 기본 원리

Apigee Sense 콘솔에서 특정 클라이언트의 요청을 명시적으로 허용, 차단 또는 신고하는 작업을 수행할 수 있습니다. Apigee Edge는 API 프록시에서 요청을 처리하기 전에 요청에 이러한 작업을 적용합니다. 일반적으로 요청이 원치 않는 동작의 패턴을 따르거나 (허용 작업의 경우) 사용자가 기존의 금지 작업에서 클라이언트를 제외하려 하므로 조치를 취하게 됩니다.

조치를 취할 요청을 찾으려면 감지 보고서 (Apigee Sense 콘솔에서 감지 메뉴를 클릭한 다음 보고서를 클릭)를 사용하여 차단하거나 신고하려는 요청 동작을 식별합니다. 예를 들어 감지 보고서에는 일련의 요청이 무차별 대입 동작을 나타낸다고 표시될 수 있습니다. 그러면 해당 IP 주소의 요청을 차단하는 조치를 취할 수 있습니다.

다음과 같은 유형의 작업을 수행할 수 있습니다.

작업 설명 우선 적용 순서
허용 선택한 카테고리의 요청을 진행하도록 허용합니다. IP 주소에 영향을 줄 수 있는 다른 작업에도 불구하고 특정 클라이언트 IP 주소의 요청을 명시적으로 허용하기 위해 허용 작업을 실행할 수 있습니다. 예를 들어 '원치 않는' 동작을 따르더라도 내부 또는 파트너 클라이언트 IP의 요청을 허용할 수 있습니다. 1
차단 선택한 카테고리의 요청을 차단합니다. 요청을 완전히 차단하면 Apigee Edge는 클라이언트에 403 상태 코드로 응답합니다. 2
플래그 API 프록시 코드 내에서 조치를 취할 수 있도록 선택한 카테고리의 요청을 신고합니다. 클라이언트 요청을 신고하면 Apigee Edge는 값이 SENSEX-SENSE-BOT-DETECTED 헤더를 요청에 추가합니다. API 프록시는 이 헤더의 존재 여부에 따라 응답할 수 있습니다(예: 클라이언트에 특정 응답 전송). 3

Apigee Sense 작업의 우선순위 순서

Apigee Sense는 허용, 차단, 신고 순으로 우선순위에 따라 작업을 적용합니다. 예를 들어 특정 IP 주소에 허용 작업과 차단 작업이 모두 사용 설정된 경우 Apigee Sense는 허용 작업을 적용하고 차단 작업을 무시합니다.

Apigee Sense는 인지하지 못하는 사이에 IP 주소에 여러 작업을 적용할 수 있으므로 우선순위 순서를 적용합니다. 이는 일반적으로 무차별 대입 차단과 같이 관련된 IP 주소가 많은 동작에 대해 조치를 취하기 때문입니다. 나중에 단일 IP에 대해 다른 작업을 수행하면(예: 허용할 수 있는 친숙한 IP 주소를 선택) IP에 동작 적용 작업과 단일 IP 적용 작업이 모두 사용 설정됩니다. 하지만 특정 IP 주소의 요청에는 우선순위가 가장 높은 작업만 적용됩니다.

따라서 IP 주소에 세 가지 유형의 작업을 모두 사용 설정할 수 있지만 허용 작업이 차단 또는 신고 작업보다 우선 적용됩니다.

조치를 취할 요청 및 클라이언트 식별

Apigee Sense 콘솔에서 출처 및 의심스러운 이유를 기준으로 의심스러운 클라이언트를 필터링하고 그룹화할 수 있습니다. 원하는 그룹을 격리한 후에는 해당 그룹의 IP에 대해 차단과 같은 조치를 취할 수 있습니다.

다음 파티션을 기준으로 의심스러운 클라이언트를 필터링할 수 있습니다.

파티션 설명
단일 봇 사유 요청이 의심스러운 이유입니다. 아래에서 이유를 자세히 알아보세요.
봇 사유 그룹 하나 이상의 IP 주소 집합과 연결된 일련의 이유입니다. 예를 들어 분석 결과 세 가지 이유로 요청이 기준과 일치하는 IP 주소 4개가 식별되었을 수 있습니다.
국가 요청이 시작된 국가입니다.
자율 시스템 조직 요청이 발생한 AS 조직입니다.

이유

Apigee Sense는 API 요청을 분석할 때 요청 동작이 의심스러운지 판단하는 기준을 사용하여 요청을 측정합니다. IP의 요청이 의심스러운 활동의 원인을 시사하는 기준을 충족하면 Apigee Sense가 콘솔에 이를 보고합니다.

다음 표에는 요청이 의심스러운 것으로 식별되는 이유가 설명되어 있습니다. 포털에서 기준 목록을 확인하고 이러한 이유로 의심스러운 요청을 하는 클라이언트를 필터링할 수 있습니다.

API 사용의 요구사항에 따라 기준을 맞춤설정할 수도 있습니다. 자세한 내용은 감지 규칙 맞춤설정을 참고하세요.

이유 동작 캡처됨
무작위 추측자 이전 24시간 동안 응답 오류의 더 큰 비율
콘텐츠 할당량 초과자 콘텐츠 할당량 초과로 인한 403 오류 후 추가 요청
Content Robber 5분 동안 트래픽이 많은 OAuth 세션이 적음
콘텐츠 스크래퍼 5분 동안 호출된 URI가 많은 경우
고유한 OS 5분 동안 사용된 여러 운영체제 제품군
고유한 사용자 에이전트 제품군 5분 동안 여러 사용자 에이전트 제품군이 사용됨
Flooder 5분 동안 IP의 높은 트래픽 비율
Guessor 5분 동안 많은 응답 오류
로그인 추측자 5분 동안 소수의 URI로 발생한 대량의 트래픽
OAuth Abuser 이전 24시간 동안 소규모 사용자 에이전트가 포함된 많은 OAuth 세션 수
OAuth 수집기 이전 24시간 동안 소규모 사용자 에이전트 패밀리가 포함된 많은 OAuth 세션 수
OAuth 수확기 5분 동안 상당한 트래픽이 발생한 OAuth 세션이 많음
Robot Abuser 지난 24시간 동안 403 거부 오류가 더 많이 발생함
짧은 세션 짧은 OAuth 세션이 많음
Static Content Scraper 5분 동안 IP에서 응답 페이로드 크기가 높은 비율
Storm 5분 동안 트래픽 급증이 거의 없음
토네이도 5분 동안 일관된 트래픽 급증
Tor 목록 규칙 IP가 TOR 프로젝트에서 시작되었으며 IP가 다른 봇 규칙을 하나 이상 트리거함