Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Możesz podejmować działania związane z przechwytywaniem podejrzanych żądań, na przykład blokować żądania lub oznaczać je do specjalnej obsługi w serwerach proxy interfejsu API. Możesz też zezwolić na żądania z określonych adresów IP.
Na czym polegają działania
W konsoli Apigee Sense możesz bezpośrednio zezwalać na łączenie, blokować lub oznaczać żądania od określonych klientów. Apigee Edge stosuje te działania do żądań przed przetworzeniem ich przez serwery proxy interfejsu API. Zazwyczaj podejmujesz działania, ponieważ żądania pasują do wzorców niechcianego zachowania lub (w przypadku działania zezwalającego) chcesz wykluczyć klienta z podejmowanych przez Ciebie działań prewencyjnych.
Aby dowiedzieć się, które żądania należy podjąć, skorzystaj z raportu wykrywania (w konsoli Apigee Sense kliknij menu Wykrywanie, a następnie Zgłoś), aby zidentyfikować zachowania związane z żądaniami, które chcesz zablokować lub oznaczyć. Raport o wykrywaniu może np. wskazywać, że w zbiorze żądań występuje brutalne zgadywanie. Możesz zablokować żądania wysyłane z tych adresów IP.
Możesz:
| Działanie | Opis | Kolejność pierwszeństwa |
|---|---|---|
| Zezwól | Zezwól na kontynuowanie żądań z wybranej kategorii. Możesz wykonać działanie Zezwalaj, aby wyraźnie zezwolić na żądania z określonych adresów IP klientów, niezależnie od innych działań, które mogą mieć wpływ na ten adres. Możesz na przykład zezwolić na żądania z wewnętrznego lub partnera adresu IP klienta, mimo że ich zachowanie jest „niechciane”. | 1 |
| Blok | Blokuj żądania w wybranej kategorii. Jeśli wybierzesz całkowite blokowanie żądań, Apigee Edge w odpowiedzi wyświetli klientowi kod stanu 403. | 2 |
| Flaga | Oznaczaj żądania z wybranej kategorii, aby można było podejmować na nich działania w kodzie serwera proxy interfejsu API. Gdy oznaczysz żądania klienta, Apigee Edge doda do żądania nagłówek X-SENSE-BOT-DETECTED o wartości SENSE. Serwer proxy interfejsu API może odpowiadać na podstawie obecności tego nagłówka, na przykład wysłać konkretną odpowiedź do klienta. |
3 |
Kolejność pierwszeństwa dla działań Apigee Sense
Apigee Sense stosuje działania w kolejności od zezwolenia do blokowania. Jeśli na przykład dla danego adresu IP włączono zarówno działanie zezwalające, jak i blokujące, Apigee Sense zignoruje blokadę.
Apigee Sense wymusza kolejność pierwszeństwa, ponieważ do adresu IP można zastosować kilka działań. Dzieje się tak dlatego, że zazwyczaj wykonujesz działania związane z zachowaniem, np. blokujesz brutalne osoby, z którymi jest powiązanych wiele adresów IP. Gdy później podejmujesz inne działanie dotyczące tego samego adresu IP (np. włączasz łatwy adres IP do zezwolenia), włączone są dla niego zarówno działania wykonywane z zachowaniem zachowania, jak i działania z pojedynczym adresem IP. Jednak dla żądań z danego adresu IP wymuszane jest tylko działanie o najwyższym priorytecie.
Mimo że dla adresu IP można włączyć działania wszystkich trzech typów, działanie zezwalające ma pierwszeństwo przed działaniem blokowania lub oznaczenia.
Identyfikacja próśb i klientów do podjęcia działań
W konsoli Apigee Sense możesz filtrować i grupować podejrzanych klientów według pochodzenia i powodu wykrycia. Po odizolowaniu grupy możesz podjąć działania związane z adresami IP z tej grupy, na przykład je zablokować.
Podejrzane klienty możesz filtrować według tych partycji:
| Partycja | Opis |
|---|---|
| Powód jednego bota | Przyczyna, dla której dane żądanie jest podejrzane. Więcej informacji o przyczynach znajdziesz poniżej. |
| Grupa przyczyn dotyczących bota | Zestaw przyczyn powiązanych z 1 zbiorem co najmniej 1 adresu IP. Na przykład analiza mogła zidentyfikować 4 adresy IP, których żądania spełniały kryteria z 3 powodów. |
| Kraj | Kraj, z którego pochodzi żądanie. |
| Organizacja systemu autonomicznego | Organizacja AS, od której pochodzi żądanie. |
Przyczyny
Podczas analizy żądań do interfejsu API Apigee Sense mierzy żądania na podstawie kryteriów, które określają, czy zachowanie żądania jest podejrzane. Jeśli żądania z adresu IP spełniają kryteria sugerujące przyczynę podejrzanej aktywności, Apigee Sense zgłasza to w swojej konsoli.
W tabeli poniżej opisujemy przyczyny, dla których żądania są klasyfikowane jako podejrzane. W portalu możesz wyświetlić listę kryteriów i filtrować klientów wysyłających podejrzane żądania według tych powodów.
Możesz też dostosować kryteria do potrzeb związanych z używaniem interfejsu API. Więcej informacji znajdziesz w artykule Dostosowywanie reguł wykrywania.
| Przyczyna | Przechwycone zachowanie |
|---|---|
| Brute Guess | większy odsetek błędów odpowiedzi w ciągu ostatnich 24 godzin, |
| Przekroczono limit treści | Dodatkowe żądania po wystąpieniu błędu 403 z powodu przekroczenia limitu treści |
| Osoba złożona z treści | Mało sesji OAuth z dużym ruchem w ciągu 5 minut |
| Pobieranie treści | Duża liczba identyfikatorów URI wywołanych w ciągu 5 minut |
| Osobny system operacyjny | Wiele rodzin systemów operacyjnych w 5-minutowym okresie |
| Rodzina osobnych klientów użytkownika | Wykorzystywanie wielu rodzin klientów użytkownika w 5-minutowym okresie |
| Zalewa | Wysoki odsetek ruchu z adresu IP w ciągu 5 minut |
| Zgadywanka | Duża liczba błędów odpowiedzi w 5-minutowym okresie |
| zgadywanie logowania | Duże natężenie ruchu z niewielu identyfikatorów URI w ciągu 5 minut |
| Nadużywanie protokołu OAuth | Duża liczba sesji OAuth z małą liczbą klientów użytkownika w ciągu ostatnich 24 godzin |
| Kolektor OAuth | Duża liczba sesji OAuth z niewielką liczbą rodzin klientów użytkownika w ciągu ostatnich 24 godzin |
| Narzędzie do zbierania danych OAuth | Duża liczba sesji OAuth z dużym ruchem w ciągu 5 minut |
| Nadużywanie robotów | Większa liczba błędów 403 dotyczących odrzucenia w ciągu ostatnich 24 godzin |
| Sesja krótka | Duża liczba krótkich sesji OAuth |
| Zgarniacz treści statycznych | Wysoki odsetek ładunku odpowiedzi z adresu IP w 5-minutowym okresie |
| Burza | Mało wysokich wzrostów ruchu w ciągu 5 minut |
| Tornado | Regularne wzrosty ruchu w ciągu 5 minut |
| Reguła listy Tor | Adres IP pochodzi z projektu TOR, a adres IP aktywuje co najmniej jedną inną regułę bota |