אתם צופים במסמכי העזרה של Apigee Edge.
כניסה למסמכי העזרה של Apigee X. info
אתם יכולים לנקוט פעולה כדי ליירט בקשות חשודות, למשל לחסום בקשות או לסמן אותן לטיפול מיוחד בשרתי ה-proxy של ה-API. אפשר גם לבצע פעולות כדי לאפשר באופן מפורש בקשות מכתובות IP ספציפיות.
הסבר על פעולות
במסוף Apigee Sense אפשר לבצע פעולות כדי לאשר, לחסום או לסמן בקשות מלקוחות ספציפיים באופן מפורש. Apigee Edge מחיל את הפעולות האלה על הבקשות לפני ששרתי ה-proxy של ה-API מעבדים אותן. בדרך כלל, תבצעו פעולה כי הבקשות תואמות לדפוסים של התנהגות לא רצויה, או (במקרה של הפעולה Allow) כי אתם רוצים להחריג לקוח מפעולות קיימות של הגבלה שביצעתם.
כדי לזהות אילו בקשות כדאי לטפל בהן, משתמשים בדוח הזיהוי (במסוף Apigee Sense, לוחצים על התפריט Detection (זיהוי) ואז על Report (דוח)) כדי לזהות התנהגויות של בקשות שרוצים לחסום או לסמן. לדוגמה, בדוח הזיהוי עשויה להופיע רשימה של בקשות שמציגות את ההתנהגות של ניסיונות פריצה גולמיים. אתם יכולים לנקוט פעולה כדי לחסום בקשות מכתובות ה-IP האלה.
אפשר לבצע את הפעולות הבאות.
| פעולה | תיאור | סדר העדיפות |
|---|---|---|
| אישור | מאפשרים לבקשות בקטגוריה שנבחרה להמשיך. אפשר לבצע את הפעולה 'אישור' כדי לאפשר באופן מפורש בקשות מכתובות IP ספציפיות של לקוחות, למרות פעולות אחרות שעשויות להשפיע על כתובת ה-IP. לדוגמה, יכול להיות שתרצו לאפשר בקשות של כתובת IP של לקוח פנימי או של לקוח שותף, למרות שהן תואמות להתנהגות 'לא רצויה'. | 1 |
| חסימה | לחסום בקשות בקטגוריה שנבחרה. כשאתם בוחרים לחסום בקשות באופן מלא, Apigee Edge משיב ללקוח עם קוד סטטוס 403. | 2 |
| דגל | לסמן בקשות בקטגוריה שנבחרה כדי שתוכלו לבצע עליהן פעולה בקוד שרת ה-proxy של ה-API. כשאתם מסמנים בקשות של לקוח, מערכת Apigee Edge מוסיפה לבקשה כותרת X-SENSE-BOT-DETECTED עם הערך SENSE. שרת ה-proxy של ה-API יכול להגיב על סמך נוכחות הכותרת הזו, למשל לשלוח תגובה ספציפית ללקוח. |
3 |
סדר העדיפות של הפעולות ב-Apigee Sense
Apigee Sense מחיל את הפעולות לפי סדר עדיפות, מ'הרשאה' ועד 'סימון'. לדוגמה, אם לכתובת IP מסוימת מוגדרות הפעולות Allow ו-Block, Apigee Sense יחיל את הפעולה Allow ויתעלם מהפעולה Block.
Apigee Sense אוכף סדר עדיפות כי אפשר להחיל כמה פעולות על כתובת IP בלי להבין זאת. הסיבה לכך היא שבדרך כלל מבצעים פעולה לגבי התנהגות – למשל חסימה של ניסיונות פריצה גולמיים – שיש לה הרבה כתובות IP משויכות. אם תבצעו פעולה אחרת מאוחר יותר לגבי כתובת IP אחת – למשל, הקצאת כתובת IP ידידותית לצורך אישור – גם הפעולה שחלה על ההתנהגות וגם הפעולות שחלות על כתובת IP אחת יופעלו בכתובת ה-IP. עם זאת, רק הפעולה עם העדיפות הגבוהה ביותר נאכפת לגבי בקשות מכתובת IP נתונה.
לכן, למרות שאפשר להפעיל פעולות מכל שלושת הסוגים עבור כתובת IP, הפעולה 'אישור' תקבל עדיפות על פני פעולה של 'חסימה' או 'סימון'.
זיהוי בקשות ולקוחות שצריך לבצע בהם פעולה
במסוף Apigee Sense אפשר לסנן ולקבץ לקוחות חשודים לפי המקור שלהם ולפי הסיבה לחשד. אחרי שמבודדים את הקבוצה הרצויה, אפשר לבצע פעולות לגבי כתובות IP בקבוצה הזו, למשל לחסום אותן.
אפשר לסנן לקוחות חשודים לפי המחיצות הבאות:
| מחיצה | תיאור |
|---|---|
| סיבה אחת לבוט | הסיבה לכך שהבקשה חשודה. בהמשך מפורט מידע נוסף על הסיבות. |
| קבוצת סיבות של בוט | קבוצה של סיבות שמשויכות לקבוצה אחת של כתובת IP אחת או יותר. לדוגמה, יכול להיות שהניתוח זיהה ארבע כתובות IP שהבקשות שלהן התאימו לקריטריונים מתוך שלוש סיבות. |
| מדינה | המדינה שממנה נשלחה הבקשה. |
| ארגון מערכת אוטונומית | ארגון ה-AS שממנו הגיעה הבקשה. |
סיבות
כשמערכת Apigee Sense מנתחת בקשות API, היא מודדת את הבקשות באמצעות קריטריונים שמאפשרים לקבוע אם התנהגות הבקשה חשודה. אם בקשות מכתובת ה-IP עומדות בקריטריונים שמצביעים על סיבה לפעילות חשודה, מערכת Apigee Sense מדווחת על כך במסוף שלה.
בטבלה הבאה מתוארות הסיבות לזיהוי בקשות כחשודות. בפורטל אפשר לראות את רשימת הקריטריונים ולסנן לקוחות ששולחים בקשות חשודות לפי הסיבות האלה.
אפשר גם להתאים אישית את הקריטריונים בהתאם לצרכים שלכם בשימוש ב-API. מידע נוסף זמין במאמר התאמה אישית של כללי זיהוי.
| סיבה | התנהגות שצולמה |
|---|---|
| Brute Guessor | אחוז גבוה יותר של שגיאות בתשובות במהלך 24 השעות הקודמות |
| חריגה מהמכסה של תוכן | בקשות נוספות אחרי שגיאה 403 בגלל חרגה ממכסת התוכן |
| Content Robber | מספר קטן של סשנים של OAuth עם נפח תנועה גדול בחלון של 5 דקות |
| תוכנה לחילוץ תוכן | מספר גדול של URIs שנקראים בחלון זמן של 5 דקות |
| מערכת הפעלה נפרדת | שימוש בכמה משפחות של מערכות הפעלה בחלון של 5 דקות |
| משפחה נפרדת של סוכן משתמש | שימוש בכמה משפחות של סוגי סוכני משתמש בחלון של 5 דקות |
| Flooder | אחוז גבוה של תנועה מכתובת IP בחלון של 5 דקות |
| Guessor | מספר גדול של שגיאות בתגובה בחלון זמן של 5 דקות |
| Login Guessor | נפח תנועה גבוה לכמה מזהי URI בחלון זמן של 5 דקות |
| ניצול לרעה של OAuth | מספר גבוה של סשנים של OAuth עם מספר קטן של סוכני משתמשים במהלך 24 השעות האחרונות |
| OAuth Collector | מספר גבוה של סשנים של OAuth עם מספר קטן של משפחות של סוכנויות משתמשים במהלך 24 השעות האחרונות |
| OAuth Harvestor | מספר גבוה של סשנים של OAuth עם תנועה משמעותית בחלון של 5 דקות |
| Robot Abuser | מספר גדול יותר של שגיאות דחייה מסוג 403 ב-24 השעות האחרונות |
| סשן קצר | מספר גבוה של סשנים קצרים של OAuth |
| גרזן תוכן סטטי | יחס גבוה של גודל המטען של התגובה מ-IP בחלון של 5 דקות |
| סערה | מספר קטן של עליות חדות בתנועה בחלון זמן של 5 דקות |
| טורנדו | עליות חדות עקביות בנפח התנועה בחלון של 5 דקות |
| כלל של רשימת Tor | כתובת ה-IP מגיעה מפרויקט TOR והיא מפעילה לפחות כלל אחד נוסף לזיהוי בוטים |