Перейти к содержанию

Использование черного списка

Вебмониторэкс может блокировать большую часть вредоносного трафика на основе каждого запроса, в котором определяется вектор атаки. Однако для поведенческих атак, в которых каждый запрос является легитимным (например, попытки авторизоваться с парами имя пользователя и пароль), необходимо блокировать источник.

Вебмониторэкс может блокировать ботов и такие поведенческие атаки, как злоупотребление приложением, атаки перебора и forced browsing, автоматическим добавлением IP‑адресов в черный список. Администраторы также могут вручную добавлять IP‑адреса в список заблокированных.

Черный список

В секции Черный список Личного кабинета вы можете:

  • просмотреть список заблокированных адресов и причину блокировки;

  • разблокировать любой IP‑адрес или задать время автоматической разблокировки;

  • заблокировать IP‑адрес.

Включите блокировку на WAF‑ноде

Для того, чтобы черные списки Вебмониторэкс применились, их необходимо включить на WAF‑ноде:

Работа с активными блокировками

По умолчанию в секции Черный список открывается вкладка Сейчас с IP‑адресами, которые заблокированы на текущий момент.

Для каждого IP‑адреса отображаются следующие данные:

  • IP / Источник — заблокированный IP‑адрес. Если в базе Вебмониторэкс найдена дополнительная информация об IP‑адресе, также отображаются следующие параметры:

    • Страна или регион, в котором зарегистрирован IP‑адрес
    • Дата‑центры, которым принадлежит один или несколько IP‑адресов: GCP для Google, DC для других дата‑центров
    • Тег Tor, если атака целиком или частично выполнена с узлов Tor
    • Тег VPN, если IP‑адрес принадлежит сети VPN
    • Тег Public proxy или Web proxy, если запрос отправлен с публичного прокси‑сервера или веб‑сервера

  • Причина — причина блокировки IP‑адреса. Указывается при блокировке адреса вручную или генерируется автоматически для IP‑адресов, заблокированных Вебмониторэкс.

  • Приложение — приложение, на доступ к которому установлена блокировка.

  • Время блокировки— дата и время блокировки.

  • Разблокировать — временной период, после которого адрес разблокируется.

Фильтрация заблокированных IP‑адресов

Вы можете отфильтровать список заблокированных IP‑адресов по параметрам:

  • IP‑адрес, указанный в поле Поиск по IP

  • Приложение, на доступ к которому установлена блокировка

Изменение времени блокировки

Чтобы изменить время блокировки IP‑адреса:

  1. Выберите заблокированный IP‑адрес из списка.

  2. Нажмите Изменить время блокировки.

    Change blocking time

  3. Выберите новую дату разблокировки адреса.

Разблокировка IP‑адреса

Чтобы снять блокировку:

  1. Выберите заблокированный IP‑адрес из списка.

  2. Нажмите Разблокировать.

    Разблокировка IP‑адреса

Также вы можете выбрать несколько IP‑адресов и разблокировать их по кнопке Разблокировать одновременно.

Повторная блокировка разблокированного IP‑адреса

После ручной разблокировки IP‑адреса, который был добавлен в черный список автоматически, повторная автоматическая блокировка произойдет по истечении половины времени предыдущей блокировки.

Например:

  1. IP‑адрес был автоматически заблокирован на 1 час, так как с этого IP‑адреса было отправлено 4 разных вектора атаки за 3 часа (согласно триггеру по умолчанию).
  2. Пользователь разблокировал IP‑адрес через Консоль управления Вебмониторэкс.
  3. Если после разблокировки с IP‑адреса будут отправлены еще 4 разных вектора атаки менее чем за 30 минут, IP‑адрес не добавится в черный список.

Работа с историей блокировок

Чтобы получить историю блокировок, в поле Выберите дату выберите период, за который необходимо получить данные. По умолчанию, история блокировок содержит события по всем IP‑адресам и приложениям.

Для фильтрации истории используйте параметры:

  • IP‑адрес, указанный в поле Поиск по IP

  • Приложение, на доступ к которому установлена блокировка

Добавление IP‑адреса в черный список

Добавление IP‑адреса в черный список на ноде с мультиарендной опцией

Если в вашей инфраструктуре установлена нода с мультиарендной опцией, перед выполнением приведенных шагов необходимо переключиться на аккаунт тенанта, для которого блокируется IP‑адрес.

Для блокировки IP‑адреса:

  1. Нажмите кнопку Заблокировать.

  2. Введите значение в поле IP-адрес.

  3. Выберите срок блокировки. Минимальный период блокировки — 5 минут.

  4. Укажите причину блокировки.

  5. Нажмите Заблокировать.

Блокировка IP‑адреса для определенного приложения

По умолчанию запросы с IP‑адресов из черного списка блокируются к любому приложению. Селектор приложений в форме для добавления IP‑адреса в черный список не используется.

Вы можете применить весь черный список IP‑адресов к определенному приложению. Для этого необходимо задать директиву wallarm_acl в соответствующем блоке server или location в конфигурации NGINX.

Черный список