Wyświetlasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. info
Możesz podejmować działania, aby przechwytywać podejrzane żądania, np. blokować je lub oznaczać do specjalnego przetwarzania w wynikach API. Możesz też zezwolić na żądania z konkretnych adresów IP.
Na czym polegają działania
W konsoli Apigee Sense możesz zezwalać na żądania z określonych klientów, blokować je lub oznaczać je jako nieprawidłowe. Apigee Edge stosuje te działania do żądań, zanim przekażą je do obsługi interfejsu API. Zazwyczaj podejmujesz działania, ponieważ prośby pasują do wzorców niepożądanego zachowania lub (w przypadku działania Zezwól) chcesz wykluczyć klienta z dotychczasowych działań blokujących.
Aby dowiedzieć się, w przypadku których żądań należy podjąć działania, możesz skorzystać z raportu wykrywania (w konsoli Apigee Sense kliknij menu Wykrywanie, a następnie Raport), aby zidentyfikować zachowania żądań, które chcesz zablokować lub oznaczyć. Raport wykrywający może na przykład wskazywać, że zestaw żądań wykazuje cechy ataku typu „zgadywanka”). Możesz podjąć działania, aby zablokować żądania z tych adresów IP.
Możesz wykonać te czynności:
| Działanie | Opis | kolejność obowiązywania, |
|---|---|---|
| Zezwól | Zezwalanie na żądania w wybranej kategorii. Możesz wybrać opcję Zezwalaj, aby zezwalać na żądania z konkretnych adresów IP klienta, mimo że inne działania mogą wpływać na adres IP. Możesz na przykład zezwolić na żądania z adresów IP klientów wewnętrznych lub partnerów, mimo że ich zachowanie jest „niepożądane”. | 1 |
| Zablokuj | Blokowanie żądań w wybranej kategorii. Gdy zdecydujesz się całkowicie zablokować żądania, Apigee Edge odpowie klientowi kodem stanu 403. | 2 |
| Flaga | Oznaczaj flagą żądania w wybranej kategorii, aby móc podejmować w ich przypadku działania w kodzie serwera proxy interfejsu API. Gdy oznaczysz zapytania klienta, Apigee Edge dodaje do nich nagłówek X-SENSE-BOT-DETECTED o wartości SENSE. Twój serwer proxy API może odpowiadać na podstawie obecności tego nagłówka, na przykład wysyłając określoną odpowiedź do klienta. |
3 |
Kolejność działań Apigee Sense
Apigee Sense stosuje działania w kolejności od zezwolenia do zablokowania i oznaczenia. Jeśli na przykład dany adres IP ma włączone zarówno działanie Zezwalaj, jak i Blokuj, Apigee Sense zastosuje działanie Zezwalaj i zignoruje działanie Blokuj.
Apigee Sense wymusza kolejność działań, ponieważ możesz stosować wiele działań do adresu IP bez Twojej wiedzy. Dzieje się tak, ponieważ zwykle podejmujesz działania w reakcji na zachowanie (np. blokowanie prób zgadywania hasła), które ma wiele powiązanych adresów IP. Gdy później wykonasz inne działanie dotyczące pojedynczego adresu IP, np. wybierzesz przyjazny adres IP, aby go zezwolić, zarówno działanie oparte na zachowaniu, jak i działanie oparte na pojedynczym adresie IP zostaną włączone dla tego adresu. Jednak w przypadku żądań z danego adresu IP jest wykonywane tylko działanie o najwyższym priorytecie.
Oznacza to, że chociaż dla adresu IP można włączyć działania wszystkich 3 typów, działanie Zezwalaj ma pierwszeństwo przed działaniem Zablokuj lub Oznaczyj.
Identyfikowanie próśb i klientów, w których przypadku należy podjąć działanie
W konsoli Apigee Sense możesz filtrować i grupować podejrzanych klientów według ich pochodzenia i przyczyny, dla której są podejrzani. Po wyizolowaniu odpowiedniej grupy możesz podjąć działania wobec adresów IP należących do tej grupy, np. zablokować je.
Podejrzanych klientów możesz filtrować według tych podziałów:
| Partycja | Opis |
|---|---|
| Pojedynczy powód związany z botami | Powód, dla którego prośba jest podejrzana. Więcej informacji o przyczynach znajdziesz poniżej. |
| Grupa przyczyn botów | Zestaw przyczyn powiązanych z jednym zestawem co najmniej 1 adresu IP. Na przykład analiza mogła zidentyfikować 4 adresy IP, których żądania pasowały do kryteriów z 3 przyczyn. |
| Kraj | Kraj, z którego pochodzi żądanie. |
| Organizacja systemu autonomicznego | Organizacja AS, z której pochodzi żądanie. |
Przyczyny
Podczas analizowania żądań interfejsu API Apigee Sense mierzy żądania za pomocą kryteriów, które określają, czy zachowanie żądania jest podejrzane. Jeśli żądania z adresu IP spełniają kryteria sugerujące podejrzaną aktywność, Apigee Sense zgłasza to w konsoli.
W tabeli poniżej znajdziesz opisy przyczyn, dla których prośby są uznawane za podejrzane. Na portalu możesz zobaczyć listę kryteriów i odfiltrować klientów przesyłających podejrzane żądania według tych kryteriów.
Możesz też dostosować kryteria do potrzeb związanych z korzystaniem z interfejsu API. Więcej informacji znajdziesz w sekcji Dostosowywanie reguł wykrywania.
| Przyczyna | Zachowanie zarejestrowane |
|---|---|
| Brute Guessor | większa liczba błędów odpowiedzi w ciągu ostatnich 24 godzin; |
| Przekroczenie limitu treści | Dodatkowe żądania po błędzie 403 z powodu przekroczenia limitu treści |
| Content Robber | Niewiele sesje OAuth z dużym natężeniem ruchu w ciągu 5 minut |
| Program do pobierania treści | duża liczba wywołań identyfikatorów URI w okresie 5 minut; |
| Odrębne systemy operacyjne | Używanie kilku rodzin systemów operacyjnych w ciągu 5 minut |
| Różne rodziny klientów użytkownika | Użycie kilku rodzin klientów użytkownika w ciągu 5 minut |
| Flooder | Wysoki odsetek ruchu z adresu IP w 5-minutowym oknie |
| Guessor | Duża liczba błędów odpowiedzi w okresie 5 minut |
| Login Guessor | Duża liczba wizyt na kilku adresach URI w okresie 5 minut |
| Wykorzystywanie protokołu OAuth | Wysoka liczba sesji OAuth z małą liczbą agentów użytkownika w ciągu ostatnich 24 godzin |
| Collector OAuth | Wysoka liczba sesji OAuth z małą liczbą rodzin identyfikatorów użytkownika w ciągu ostatnich 24 godzin |
| OAuth Harvestor | duża liczba sesji OAuth z znacznym ruchem w okresie 5 minut; |
| Robot Abuser | W ciągu ostatnich 24 godzin wystąpiła większa liczba błędów odrzucenia 403 |
| Krótka sesja | Duża liczba krótkich sesji OAuth |
| Skraper treści statycznej | Wysoki odsetek rozmiaru ładunku odpowiedzi z adresu IP w okresie 5 minut |
| Burza | kilka dużych wzrostów natężenia ruchu w okresie 5 minut; |
| Tornado | stałe skoki natężenia ruchu w okresie 5 minut; |
| Reguła listy Tor | adres IP pochodzi z projektu TOR i powoduje aktywację co najmniej 1 innej reguły dotyczącej botów; |