현재 Apigee Edge 문서가 표시되고 있습니다.
Apigee X 문서로 이동 정보
요청을 차단하거나 API 프록시 내에서 특별한 처리를 위해 신고하는 등 의심스러운 요청을 가로채는 조치를 취할 수 있습니다. 또한 특정 IP 주소의 요청을 명시적으로 허용하도록 조치를 취할 수도 있습니다.
액션의 기본 원리
Apigee Sense 콘솔에서 특정 클라이언트의 요청을 명시적으로 허용, 차단 또는 플래그하는 조치를 취할 수 있습니다. Apigee Edge는 API 프록시가 요청을 처리하기 전에 이러한 작업을 요청에 적용합니다. 일반적으로 요청이 원치 않는 동작의 패턴을 따르기 때문에 또는'허용' 작업의 경우 이미 취한 금지적인 조치에서 클라이언트를 제외하기 위해 조치를 취하게 됩니다.
조치를 취할 요청을 찾으려면 감지 보고서 (Apigee Sense 콘솔에서 감지 메뉴와 보고서를 차례로 클릭)를 사용하여 차단하거나 신고하려는 요청 동작을 식별합니다. 예를 들어 감지 보고서에 일련의 요청이 무차별 추측 동작을 보인다고 표시될 수 있습니다. 이러한 IP 주소의 요청을 차단하는 조치를 취할 수 있습니다.
다음과 같은 유형의 작업을 할 수 있습니다.
| 작업 | 설명 | 우선순위 |
|---|---|---|
| 허용 | 선택한 카테고리의 요청이 계속 진행되도록 허용합니다. IP 주소에 영향을 줄 수 있는 다른 작업이 있더라도 허용 작업을 통해 특정 클라이언트 IP 주소의 요청을 명시적으로 허용할 수 있습니다. 예를 들어 내부 또는 파트너 클라이언트 IP가 '원치 않는' 동작을 준수하더라도 요청을 허용할 수 있습니다. | 1 |
| 블록 | 선택한 카테고리의 요청을 차단합니다. 요청을 완전히 차단하도록 선택하면 Apigee Edge가 클라이언트에 403 상태 코드로 응답합니다. | 2 |
| 플래그 | API 프록시 코드 내에서 조치를 취할 수 있도록 선택한 카테고리의 요청에 플래그를 지정합니다. 클라이언트의 요청에 플래그를 지정하면 Apigee Edge가 요청에 SENSE 값과 함께 X-SENSE-BOT-DETECTED 헤더를 추가합니다. API 프록시는 이 헤더의 존재에 따라 응답(예: 클라이언트에 특정 응답 전송)할 수 있습니다. |
3 |
Apigee Sense 작업의 우선순위
Apigee Sense는 허용부터 차단, 플래그 지정까지 작업을 우선순위로 적용합니다. 예를 들어 특정 IP 주소에 허용 및 차단 작업이 모두 사용 설정된 경우 Apigee Sense는 허용 작업을 적용하고 차단 작업은 무시합니다.
Apigee Sense는 IP 주소에 여러 작업을 적용할 수 있기 때문에 우선순위를 적용합니다. 이는 연결된 IP 주소가 많은 동작(예: 무차별 추측을 차단하는 행위)에 대해 조치를 취하기 때문입니다. 나중에 단일 IP에서 다른 작업을 수행할 때(예: 허용할 IP 주소 제외) 동작 적용 작업과 단일 IP 적용 작업이 모두 해당 IP에 사용 설정됩니다. 그러나 지정된 IP 주소의 요청에는 우선순위가 가장 높은 작업만 시행됩니다.
따라서 IP 주소에 세 가지 유형의 작업을 모두 사용 설정할 수 있지만 허용 작업이 차단 또는 신고 작업보다 우선합니다.
조치를 취할 요청 및 고객 파악
Apigee Sense 콘솔에서 출처 및 의심스러운 이유를 기준으로 의심스러운 클라이언트를 필터링하고 그룹화할 수 있습니다. 원하는 그룹을 격리한 후 해당 그룹의 IP에 대해 차단 등의 조치를 취할 수 있습니다.
다음 파티션을 기준으로 의심스러운 클라이언트를 필터링할 수 있습니다.
| 파티션 | 설명 |
|---|---|
| 단일 봇 이유 | 요청이 의심스러운 이유입니다. 아래에서 그 이유를 자세히 알아보세요. |
| 봇 이유 그룹 | 하나 이상의 IP 주소 집합과 관련된 일련의 이유입니다. 예를 들어 분석 시 세 가지 이유로 요청이 기준과 일치하는 4개의 IP 주소를 식별했을 수 있습니다. |
| 국가 | 요청이 시작된 국가입니다. |
| 자율 시스템 조직 | 요청이 접수된 AS 조직입니다. |
이유
Apigee Sense는 API 요청을 분석할 때 요청 동작이 의심스러운지 판단하는 기준을 사용하여 요청을 측정합니다. IP로부터의 요청이 의심스러운 활동의 이유를 제시하는 기준을 충족하는 경우 Apigee Sense는 이를 콘솔에 보고합니다.
다음 표에서는 요청이 의심스러운 것으로 식별된 이유를 설명합니다. 포털에서 기준 목록을 확인하고 이러한 이유로 의심스러운 요청을 하는 클라이언트를 필터링할 수 있습니다.
API 사용 요구에 따라 기준을 맞춤설정할 수도 있습니다. 자세한 내용은 감지 규칙 맞춤설정을 참조하세요.
| 이유 | 동작 캡처됨 |
|---|---|
| 무작위 추측자 | 지난 24시간 동안 응답 오류의 비율이 높음 |
| 콘텐츠 할당량 초과 | 콘텐츠 할당량 초과로 인한 403 오류 발생 후 추가 요청 |
| 콘텐츠 강도 | 5분 동안 트래픽이 많은 OAuth 세션이 거의 발생하지 않음 |
| 콘텐츠 스크래퍼 | 5분 동안 호출되는 대량의 URI |
| 고유 OS | 5분 동안 여러 운영체제 제품군 사용 |
| 고유한 사용자 에이전트 제품군 | 5분 동안 여러 사용자 에이전트 제품군 사용 |
| Flooder | 5분 동안 IP에서 발생하는 트래픽 비율 높음 |
| 추측 | 5분 안에 많은 응답 오류 발생 |
| 로그인 추측 | 5분 동안 적은 수의 URI로 유입되는 트래픽 양이 많음 |
| OAuth Abuser | 지난 24시간 동안 소수의 사용자 에이전트가 포함된 OAuth 세션 수가 많음 |
| OAuth 수집기 | 지난 24시간 동안 소수의 사용자 에이전트 계열이 포함된 OAuth 세션 수가 많음 |
| OAuth 수집기 | 5분 동안 상당한 트래픽을 발생시킨 OAuth 세션 수 |
| Robot Abuser | 지난 24시간 동안 더 많은 403 거부 오류 발생 |
| 짧은 세션 | 짧은 OAuth 세션 많음 |
| Static Content Scraper | 5분 동안 IP에서 발생하는 응답 페이로드 크기의 비율이 높음 |
| Storm | 5분 동안 트래픽이 급증하는 경우가 거의 없음 |
| 토네이도 | 5분 안에 트래픽이 지속적으로 급증함 |
| Tor 목록 규칙 | IP가 TOR 프로젝트에서 발생하고 IP가 하나 이상의 다른 봇 규칙을 트리거합니다. |