Серый список IP‑адресов¶

Серый список предназначен для "подозрительных" IP-адресов. В отличие от черного списка, нода блокирует только вредоносные запросы с IP-адресов из серого списка, а легитимные пропускает. Это позволяет снижать ложные срабатывания. Нода проверяет серый список только в режиме мягкой блокировки.

Вредоносными считаются запросы с признаками следующих атак:

• Атак на проверку данных

• Атак типа vpatch

• Атак, которые обнаружены на основе индивидуальных правил

Поведение ноды может отличаться, если IP‑адреса дублируются в других списках, подробнее о приоритетах списков.

В Консоли управления Вебмониторэкс → Списки IP → Серый список вы можете управлять IP‑адресами из серого списка:

• Добавлять отдельные IP‑адреса и подсети

• Добавлять группы IP‑адресов, зарегистрированные в определенной стране, регионе, дата-центре, узле и т.д.

• Настраивать время и причину хранения IP‑адреса в списке

• Удалять IP‑адрес из списка

• Просматривать историю изменения списка

Примеры использования серого списка IP‑адресов¶

• Добавлять в серый список IP-адреса, с которых отправлено несколько атак подряд.

  Попытка атаки ваших приложений может состоять из нескольких запросов с векторами разных типов, отправленных с одного IP‑адреса. Чтобы заблокировать большую часть вредоносных запросов и разрешить легитимные запросы, вы можете добавить IP‑адрес источника запросов в серый список. Для этого вы можете использовать триггер, который автоматически добавит в серый список IP‑адрес, с которого за определенное время отправлены несколько векторов атак. Время и порог векторов атак настраиваются в триггере.

  Использование данного подхода позволяет значительно снизить количество ложных срабатываний на атаки.

• Добавлять в серый список IP‑адреса, страны, дата-центры, узлы (например: узлы Tor), которые часто являются источниками атак. WAF‑нода будет пропускать легитимные запросы, отправленные с указанных IP‑адресов, и блокировать запросы только с признаками атак.

Добавление IP‑адреса в список¶

Добавлять IP‑адреса в серый список можно автоматически, если с IP поступает подозрительный трафик, и вручную.

Автоматическое добавление IP-адресов (рекомендуется)¶

Добавлять IP-адреса в серый список автоматически позволяют триггеры. Они задают условия для добавления IP в список:

• Генерирует вредоносные запросы типа Brute force, Forced browsing, BOLA.

• Генерирует вредоносные пэйлоады разных типов с определенной частотой.

• В новых аккаунтах компаний есть преднастроенный триггер для добавления в серый список IP, которые генерируют 3 и более вредоносных пэйлоадов в течение 1 часа.

На условия, перечисленные выше, в триггерах должна быть задана реакция Добавить IP в серый список.

Добавление IP-адресов вручную¶

Чтобы добавить IP‑адрес в список вручную:

1. Перейдите в Консоль управления Вебмониторэкс → Списки IP → Серый список и нажмите Добавить объект.

2. В выпадающем списке выберите список, в который хотите добавить объект.

3. Укажите IP‑адрес или группу IP‑адресов, используя один из способов:

   • Введите одиночный IP‑адрес или маску подсети

     Поддерживаемые маски подсетей

     Максимальная поддерживаемая маска подсети для IPv6 — /32, для IPv4 — /12.

   • Выберите страну или регион (геолокацию), чтобы добавить в список все IP‑адреса, которые зарегистрированы в ней

   • Выберите тип источника, чтобы добавить в список все IP‑адреса, которые ему принадлежат. Например:
     • Tor для IP‑адресов узлов Tor
     • Proxy для IP‑адресов публичных или веб-серверов
     • Search Engine Spiders для IP‑адресов роботов поисковых систем
     • VPN для IP‑адресов сетей VPN

4. Выберите приложения, к которым вы разрешаете или запрещаете доступ IP‑адресу или группе IP‑адресов.

5. Выберите срок, на который необходимо добавить IP‑адрес или группу IP‑адресов в список. Минимальное значение — 5 минут, максимальное — навсегда.

6. Укажите причину добавления IP‑адреса или группы IP‑адресов в список.

7. Подтвердите добавление IP‑адреса или группы IP‑адресов в список.