关键概念
恶意BOT:指以非法目的为主导,通过自动化手段对目标系统发起攻击、窃取数据或执行恶意操作的自动化程序。
疑似BOT:指具备部分爬虫特征,但缺乏直接攻击痕迹或明确意图证据,需进一步验证其访问意图的自动化程序。
友好BOT:指经允许并鼓励访问网站的自动化程序,通常用于搜索引擎索引、网站健康检查及数据分析等合法用途。
Client ID:指客户端(如浏览器或应用程序)标识。系统通过User-Agent信息及流量指纹等特征,识别HTTP请求的客户端来源类型。
网页端UMID:指网页客户端的设备唯一标识符,用于辅助安全团队识别异常流量。
APP端UMID:指APP客户端的设备唯一标识符,用于辅助安全团队识别异常流量。
JA3指纹:指对TLS握手过程中的关键参数(包括TLS版本、密码套件、压缩算法及TLS扩展等)进行MD5哈希处理后生成的字符串。该指纹用于表示客户端的TLS配置,可识别并区分Web浏览器、移动应用程序及恶意软件等不同类型的TLS客户端。
JA4指纹:指在JA3指纹基础上引入浏览器版本、操作系统等更多上下文信息与算法生成的指纹。该指纹有效降低了JA3指纹的重复性问题,能够更准确地鉴别真实用户与伪装者,降低误识率。
HTTP/2指纹:指对HTTP/2客户端的原始指纹进行MD5算法处理后生成的标识。该指纹用于分析和识别不同客户端,以保障通信的安全与高效。
若发现特定Client ID、网页端UMID、APP端UMID、JA3指纹、JA4指纹或HTTP/2指纹的访问数量异常,可通过配置Bot高级自定义规则对其实施封禁。
操作步骤
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
说明未开通或未试用Bot管理时,可通过当前页面的展示信息初步评估机器流量趋势。如需使用完整功能,请开通或申请试用Bot管理,具体操作请参见开通Bot管理。
流量分析页面支持以下操作:
筛选与搜索:页面顶部提供时间、防护对象、Referer、域名、RequestPath、攻击IP及User-Agent等筛选条件。启用高级搜索模式时,系统仅返回同时满足所有设定条件的记录。
防护总览:该区域展示恶意BOT、疑似BOT及友好BOT的趋势图。将鼠标悬停于趋势图任意时间点,可查看该时刻各类BOT的具体数量。
Top数据分析:页面下方区域展示以下Top统计信息。
功能项
说明
流量分类TOP IP
展示分别命中恶意BOT、疑似BOT和友好BOT数量排名前10的IP。
规则命中TOP IP
展示命中不同标签规则数量排名前10的IP。
客户端类型TOP统计
展示Client ID、网页端UMID、APP端UMID及客户端类型四种标识数量排名前10的统计情况。
流量指纹TOP统计
展示JA3指纹、JA4指纹、HTTP/2指纹三种指纹类型数量排名前10的统计情况。
请求头Top统计
展示Host、Path、Query参数、Referer四种请求头数量排名前10的统计情况。
防护对象TOP统计
展示请求次数前10的防护对象。