Xử lý hoạt động đáng ngờ

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X.
thông tin

Bạn có thể thực hiện hành động để chặn các yêu cầu đáng ngờ, chẳng hạn như bằng cách chặn các yêu cầu hoặc bằng cách gắn cờ các yêu cầu đó để xử lý đặc biệt trong các proxy API của bạn. Bạn cũng có thể thực hiện hành động để cho phép rõ ràng các yêu cầu từ các địa chỉ IP cụ thể.

Cách hành động hoạt động

Trong bảng điều khiển API (Apigee Sense), bạn có thể thực hiện các thao tác để cho phép, chặn hoặc gắn cờ một cách rõ ràng yêu cầu của các ứng dụng cụ thể. Apigee Edge áp dụng các hành động này cho các yêu cầu trước khi proxy API của bạn xử lý các yêu cầu đó. Thông thường, bạn sẽ có biện pháp xử lý vì các yêu cầu tuân theo mẫu hành vi không mong muốn hoặc (trong trường hợp Hành động cho phép) vì bạn muốn loại trừ khách hàng khỏi những hành động nghiêm cấm hiện tại mà bạn đã thực hiện.

Để tìm hiểu xem yêu cầu nào cần thực hiện hành động, hãy sử dụng báo cáo phát hiện (trong bảng điều khiển API Sense, hãy nhấp vào trình đơn Phát hiện rồi chọn Báo cáo) để xác định các hành vi yêu cầu mà bạn muốn chặn hoặc gắn cờ. Ví dụ: báo cáo phát hiện có thể liệt kê rằng một tập hợp yêu cầu thể hiện hành vi Brute Đoáng. Bạn có thể chặn yêu cầu từ các địa chỉ IP đó.

Bạn có thể thực hiện các loại hành động sau.

Hành động Nội dung mô tả Thứ tự ưu tiên
Cho phép Cho phép tiếp tục thực hiện các yêu cầu trong danh mục đã chọn. Bạn có thể thực hiện thao tác Cho phép để cho phép rõ ràng các yêu cầu từ địa chỉ IP của ứng dụng cụ thể, mặc dù các thao tác khác có thể ảnh hưởng đến địa chỉ IP đó. Ví dụ: bạn có thể muốn cho phép các yêu cầu của IP khách hàng nội bộ hoặc đối tác, mặc dù các yêu cầu đó tuân theo hành vi "không mong muốn". 1
Chặn Chặn các yêu cầu trong danh mục đã chọn. Khi bạn chọn chặn hoàn toàn các yêu cầu, Apigee Edge sẽ phản hồi khách hàng bằng mã trạng thái 403. 2
Cờ Gắn cờ các yêu cầu trong danh mục đã chọn để bạn có thể xử lý các yêu cầu đó trong mã proxy API. Khi bạn gắn cờ các yêu cầu của khách hàng, Apigee Edge sẽ thêm vào yêu cầu một tiêu đề X-SENSE-BOT-DETECTED có giá trị SENSE. Proxy API của bạn có thể phản hồi dựa trên sự hiện diện của tiêu đề này, chẳng hạn như gửi phản hồi cụ thể đến ứng dụng khách. 3

Thứ tự ưu tiên đối với các hành động của Apigee Sense

Apigee Sense áp dụng các hành động theo thứ tự ưu tiên, từ Cho phép đến Chặn đến Gắn cờ. Ví dụ: Nếu một địa chỉ IP cụ thể đã bật cả hành động Cho phép và Chặn, thì Apigee sẽ áp dụng hành động Cho phép và bỏ qua hành động Chặn.

Apigee Sense thực thi một thứ tự ưu tiên vì bạn có thể áp dụng nhiều hành động cho một địa chỉ IP mà không cần nhận ra. Lý do là vì bạn thường thực hiện hành động đối với một hành vi có liên quan đến nhiều địa chỉ IP, chẳng hạn như chặn những kẻ đoán bản thân. Sau đó, khi bạn thực hiện hành động khác trên một IP (chẳng hạn như chọn một địa chỉ IP thân thiện để cho phép), thì cả hành động được áp dụng theo hành vi và hành động được áp dụng cho một IP đều được bật cho IP đó. Tuy nhiên, chỉ hành động có mức độ ưu tiên cao nhất mới được thực thi đối với các yêu cầu từ một địa chỉ IP nhất định.

Vì vậy, mặc dù có thể bật hành động thuộc cả ba loại cho một địa chỉ IP, nhưng hành động Cho phép sẽ được ưu tiên hơn hành động Chặn hoặc Gắn cờ.

Xác định yêu cầu và khách hàng cần thực hiện hành động

Trong bảng điều khiển Apigee Sense, bạn có thể lọc và nhóm các khách hàng đáng ngờ theo nguồn gốc và lý do họ đáng ngờ. Khi đã tách riêng nhóm mình muốn, bạn có thể thực hiện hành động đối với các IP trong nhóm đó, chẳng hạn như chặn các IP đó.

Bạn có thể lọc các ứng dụng đáng ngờ theo các phân vùng sau:

Phân vùng Nội dung mô tả
Lý do cho một bot Lý do một yêu cầu là đáng ngờ. Xem thêm về lý do bên dưới.
Nhóm lý do về bot Một tập hợp các lý do liên quan đến một hoặc nhiều địa chỉ IP. Ví dụ: quy trình phân tích có thể đã xác định được 4 địa chỉ IP có yêu cầu khớp với các tiêu chí vì 3 lý do.
Quốc gia Quốc gia nơi bắt nguồn yêu cầu.
Tổ chức hệ thống tự quản Tổ chức AS đã đưa ra yêu cầu.

Lý do

Khi phân tích các yêu cầu API, Apigee Sense sẽ đo lường các yêu cầu đó bằng cách sử dụng các tiêu chí xác định xem hành vi yêu cầu có đáng ngờ hay không. Nếu các yêu cầu từ địa chỉ IP đáp ứng tiêu chí về lý do dẫn đến hoạt động đáng ngờ, thì Apigee sẽ báo cáo vấn đề này trong bảng điều khiển của ứng dụng.

Bảng sau đây mô tả lý do khiến các yêu cầu bị xác định là đáng ngờ. Trong cổng thông tin, bạn có thể thấy danh sách tiêu chí và lọc những khách hàng gửi yêu cầu đáng ngờ theo những lý do này.

Bạn cũng có thể tuỳ chỉnh tiêu chí theo nhu cầu sử dụng API của mình. Để biết thêm thông tin, hãy xem bài viết Tuỳ chỉnh quy tắc phát hiện.

Lý do Ghi nhận hành vi
Đoán thô Tỷ lệ lỗi phản hồi lớn hơn trong 24 giờ qua
Vượt quá hạn mức nội dung Yêu cầu bổ sung sau lỗi 403 do vượt quá hạn mức nội dung
Kẻ cướp nội dung Một vài phiên OAuth có lưu lượng truy cập lớn trong khoảng thời gian 5 phút
Công cụ cóp nhặt nội dung Số lượng lớn URI được gọi trong một cửa sổ 5 phút
Hệ điều hành riêng biệt Nhiều dòng hệ điều hành được sử dụng trong cửa sổ 5 phút
Nhóm tác nhân người dùng riêng biệt Nhiều nhóm tác nhân người dùng được sử dụng trong thời lượng 5 phút
Flooder Tỷ lệ cao lưu lượng truy cập từ IP trong cửa sổ 5 phút
Phỏng đoán Số lượng lớn lỗi phản hồi trong cửa sổ 5 phút
Công cụ đoán đăng nhập Có lưu lượng truy cập cao cho một vài URI trong thời gian 5 phút
Người lạm dụng OAuth Có nhiều phiên OAuth với số lượng nhỏ tác nhân người dùng trong 24 giờ qua
Trình thu thập OAuth Có nhiều phiên OAuth với số lượng nhóm tác nhân người dùng nhỏ trong 24 giờ qua
Trình thu thập OAuth Số lượng phiên OAuth cao có lưu lượng truy cập đáng kể trong khoảng thời gian 5 phút
Kẻ lạm dụng rô-bốt Số lượng lớn hơn các lỗi từ chối 403 trong 24 giờ qua
Phiên ngắn Có nhiều phiên OAuth ngắn
Công cụ cắt nội dung tĩnh Tỷ lệ cao kích thước tải trọng phản hồi từ IP trong cửa sổ 5 phút
Có bão Ít có mức tăng đột biến cao về lưu lượng truy cập trong khoảng thời gian 5 phút
Lốc xoáy Mức tăng đột biến liên tục về lưu lượng truy cập trong khoảng thời gian 5 phút
Quy tắc danh sách Tor IP bắt nguồn từ dự án TOR và IP kích hoạt ít nhất một quy tắc bot khác