Антибот API¶

С помощью модуля Антибот API вы можете защитить ваши API от вредоносных ботов. Модуль отслеживает и блокирует автоматическое заполнение форм украденными учетными данными, создание фейковых аккаунтов, скальпинг, скрейпинг и другие атаки ботов.

Защита от автоматизированных атак¶

Модуль Антибот API по умолчанию защищает от следующих автоматизированных атак:

Генерация большого объема вредоносного трафика, чтобы увеличить время отклика сервера или привести к полной недоступности сервера.
Автоматическое заполнение форм украденными учетными данными для получения доступа к аккаунтам пользователей.
Создание фейковых аккаунтов и спам (например, отзывами). Обычно не приводит к недоступности сервиса, но может затруднять значимые процессы, например:
- Обработку запросов реальных пользователей командой поддержки
- Сбор реальной статистки маркетологами
Скальпинг – автоматическое резервирование онлайн-товаров ботами. Например, бот может зарезервировать все доступные товары, тогда продажа товара реальным и онлайн пользователям будет недоступна.
Автоматизированный поиск уязвимостей.
Скрейпинг API – сбор данных приложения с целью сделать их общедоступными.
Broken Object Level Authorization (BOLA). Данная уязвимость позволяет злоумышленнику обратиться к объекту по идентификатору через запрос API и получить или изменить его данные, обойдя механизм авторизации.

Как работает Антибот API?¶

Модуль Антибот API использует комплексную модель обнаружения ботов, включая машинное обучение (ML), статистические и математические методы поиска аномалий и обнаружение прямых атак API. Модуль строит профиль легитимного трафика и идентифицирует существенные отклонения от него как аномалии.

Источником аномалий могут выступать как вредоносные, так и легитимные боты. Модуль Антибот API определяет вредоносных ботов на основе следующих метрик:

Число аномальных запросов к эндпоинту за интервал времени
Число запросов к API с одного IP за интервал времени
Число уникальных эндпоинтов API, получивших запросы с одного IP
Коды ответов
Заголовки запросов, и т.д.

Если метрики указывают на признаки атак ботов, модуль Антибот API добавляет IP-адреса источников в черный или серый список на 1 час. Значение метрик отображается в показателе Вероятность для каждого IP бота в Консоли управления.

Решение детально анализирует аномалии трафика прежде, чем отнести их к вредоносным и заблокировать источник. Поскольку сбор и анализ метрик занимают некоторое время, модуль не блокирует вредоносных ботов в режиме реального времени после поступления первого вредоносного запроса, но значительно снижает аномальную активность в среднем.

Активация¶

Модуль Антибот API поставляется во всех формах установки ноды Вебмониторэкс 4.2 и выше, но по умолчанию отключен.

Чтобы активировать Антибот API:

Убедитесь, что используется нода Вебмониторэкс 4.2 или новее.
Добавьте подписку на модуль Антибот API. Для этого отправьте запрос на sales@webmonitorx.ru.
В Консоли управления Вебмониторэкс → Антибот API создайте или активируйте как минимум один профиль Антибота API.

Доступ к настройке профилей

Только администраторы могут управлять профилями модуля Антибот API. Если у вас нет доступа, обратитесь к администратору.

Точность¶

Вы можете настроить, насколько строго отслеживаются признаки вредоносных ботов, и контролировать число ложный срабатываний. Для этого используется параметр Точность в профилях Антибота API.

Доступны три уровня точности:

Низкая - снижает риск блокировки легитимных запросов, но повышает риск, что часть запросов от вредоносных ботов достигнет API.
Средняя - используется оптимальный набор правил, чтобы избежать высокого количества ложных срабатываний и пропустить минимум вредоносных запросов до API.
Высокая - блокирует 100% запросов от вредоносных ботов, но повышает риск ложных срабатываний, в связи с чем легитимные запросы могут не достигнуть API.

Добавление бота в черный или серый список¶

В профилях Антибота API можно указать, что делать с обнаруженными вредоносными ботами. Их IP-адреса могут быть на 1 час добавлены в:

Черный список
Серый список (режим мягкой блокировки)

Добавление бота в черный список¶

При выборе этой опции система:

Обнаруживает бота на основе метрик.
Добавляет его IP-адрес в черный список на 1 час.
Блокирует все запросы с этого IP-адреса в течение 1 часа.

Черный список — список IP‑адресов, которым вы не разрешаете доступ к приложениям, даже если в запросах нет признаков атак. Нода блокирует запросы с IP-адресов из черного списка в любом режиме фильтрации, если IP‑адреса не дублируются в белом списке.

Добавление бота в серый список, режим мягкой блокировки¶

При выборе этой опции система:

Обнаруживает бота на основе метрик.
Добавляет его IP-адрес в серый список на 1 час.
Выполняет одно из действий:
1. Если нода Вебмониторэкс работает не в режиме мягкой блокировки, не делает ничего. IP-адреса ботов просто перечисляются в сером списке.
2. Если нода Вебмониторэкс работает в режиме мягкой блокировки, применяет к IP-адресам ботов тот же подход, что и к другим адресам из серого списка.

Серый список — список IP‑адресов, которым вы разрешаете доступ к приложениям, только если в запросах нет признаков атак:

Атак на проверку данных
Атак типа vpatch
Атак, которые обнаружены на основе индивидуальных правил

Поведение ноды Вебмониторэкс может отличаться, если IP‑адреса дублируются в других списках, подробнее о приоритетах списков.

Список заблокированных ботов¶

Для блокировки вредоносных ботов модуль Антибот API добавляет их в черный или серый список на 1 час. Просмотреть IP заблокированных ботов можно в Консоли управления Вебмониторэкс → Списки IP → Черный список или Серый список.

В столбце Причина для таких IP-адресов указано Bot. Каждый IP сопровождается подробной информацией о боте.

Если IP-адрес в черном или сером списке не принадлежит вредоносному боту (ложное срабатывание), вы можете удалить IP из списка или добавить его в белый список. Вебмониторэкс не блокирует запросы с адресов из белого списка, даже если они вредоносные.