针对可疑活动采取措施

您正在查看 Apigee Edge 文档。
请查看 Apigee X 文档

您可以采取措施来拦截可疑请求,例如屏蔽请求或将其标记以便在 API 代理内进行特殊处理。您还可以采取措施,明确允许来自特定 IP 地址的请求。

操作次数的统计方式

Apigee Sense 控制台中,您可以执行操作来明确允许、屏蔽或标记来自特定客户端的请求。Apigee Edge 会在 API 代理处理请求之前将这些操作应用于请求。通常,您会因以下原因而采取相应措施:请求符合不良行为模式(对于“允许”操作),或者您想从已执行的现有禁止操作中排除某个客户端。

若要找出要对哪些请求执行操作,您可以使用检测报告(在 Apigee Sense 控制台中,点击“检测”菜单,然后点击“报告”)来标识要屏蔽或举报的请求行为。例如,检测报告可能显示一组请求表现出了暴力猜测行为。您可以采取措施来阻止来自这些 IP 地址的请求。

您可以执行以下类型的操作。

操作 说明 优先顺序
允许 允许所选类别的请求继续。尽管其他操作可能会影响 IP 地址,但您可以执行“允许”操作,明确允许来自特定客户端 IP 地址的请求。例如,您可能想要允许内部或合作伙伴客户端 IP 的请求,即使它们符合“不需要”的行为也是如此。 1
屏蔽 屏蔽所选类别的请求。当您选择完全屏蔽请求时,Apigee Edge 会以 403 状态代码响应客户端。 2
标记 标记所选类别中的请求,以便您在 API 代理代码中对这些请求执行操作。在您标记客户端请求时,Apigee Edge 会在请求中添加一个值为 SENSEX-SENSE-BOT-DETECTED 标头。您的 API 代理可以根据此标头是否存在(例如向客户端发送特定响应)进行响应。 3

Apigee Sense 操作的优先顺序

Apigee Sense 会按优先级从“允许”到“禁止”再应用操作。例如,如果指定 IP 地址同时启用了“允许”和“禁止”操作,则 Apigee Sense 会应用“允许”操作并忽略“禁止”操作。

Apigee Sense 会强制执行优先级顺序,因为您可以对 IP 地址执行多项操作,但没有意识到这一点。这是因为您通常会对具有许多 IP 地址的行为(例如屏蔽暴力猜测者)采取措施。当您稍后对单个 IP 执行其他操作时(例如,通过排除友好 IP 地址来允许),系统会同时为 IP 启用行为适用的操作和单个 IP 应用的操作。不过,系统只会对来自指定 IP 地址的请求强制执行优先级最高的操作。

因此,虽然可以为 IP 地址启用所有三种类型的操作,但允许操作的优先级高于“禁止”或“标记”操作。

确定要处理的请求和客户

在 Apigee Sense 控制台中,您可以按可疑来源和可疑原因对可疑客户进行过滤和分组。分离出所需的群组后,您可以对该群组中的 IP 执行操作(例如屏蔽它们)。

您可以按以下分区过滤可疑的客户端:

分区 说明
单个聊天机器人的原因 请求可疑的原因。下文详细介绍了原因。
聊天机器人原因组 与一个或多个 IP 地址集相关联的一组原因。例如,分析可能已经确定了四个 IP 地址,其请求与条件匹配,原因有三个。
国家/地区 发出请求的国家/地区。
自治系统组织 发出请求的 AS 组织。

原因

在分析 API 请求时,Apigee Sense 会根据确定请求行为是否可疑的条件来衡量请求。如果来自 IP 地址的请求符合表明可疑活动的原因,Apigee Sense 会在控制台中报告这一情况。

下表介绍了请求被认定为可疑的原因。在门户中,您可以看到条件列表,并根据这些原因过滤提出可疑请求的客户端。

您还可以根据 API 的使用需求自定义条件。如需了解详情,请参阅自定义检测规则

原因 捕获的行为
Brute Guessor 之前 24 小时内出现响应错误的比例较高
内容配额超出函数 因超出内容配额导致的 403 错误之后的其他请求
内容抢劫 在 5 分钟内获得大量流量的 OAuth 会话较少
内容清除程序 在 5 分钟内调用了大量 URI
是不同的操作系统 在 5 分钟内使用了多个操作系统系列
不同的用户代理系列 在 5 分钟内使用了多个用户代理系列
Flooder 5 分钟内来自 IP 的流量占比较高
导师 5 分钟内出现大量响应错误
登录 Guessor 在 5 分钟内大量流向少量 URI
OAuth Abuser 过去 24 小时内包含少量用户代理的 OAuth 会话数量较多
OAuth 收集器 过去 24 小时内包含少量用户代理系列的 OAuth 会话数量较多
OAuth 收集器 在 5 分钟内有大量流量的 OAuth 会话
Robot Abuser 过去 24 小时内出现更多 403 拒绝错误
短会话 OAuth 会话短时数量较多
静态内容爬取器 5 分钟时间段内来自 IP 的响应载荷所占的比例较高
Storm 在 5 分钟内出现较少的高流量高峰
龙卷风 5 分钟内流量持续激增
Tor 列表规则 IP 来自 TOR 项目