基本概念
恶意BOT:以非法目的为主导,通过自动化手段对目标系统发起攻击、窃取数据或执行恶意操作的自动化程序。
疑似BOT:存在部分爬虫表征,但缺乏直接证据(如攻击痕迹或明确意图),需进一步验证其意图。
友好BOT:允许并鼓励访问网站的Bot,通常用于搜索引擎索引、网站健康检查、数据分析等有益用途。
Client ID:客户端(如浏览器或应用程序)标识,通过User Agent信息和流量指纹等特征来识别HTTP请求来源于哪种客户端。
网页端UMID:网页客户端的设备唯一标识符,用于辅助安全团队识别异常流量。
APP端UMID:APP客户端的设备唯一标识符,用于辅助安全团队识别异常流量。
JA3指纹:通过将TLS握手过程中的关键参数(包括TLS版本、密码套件、压缩算法和TLS扩展等信息)进行MD5哈希处理,生成一个字符串用来表示客户端的TLS配置,该字符串即JA3指纹。JA3指纹可以用于识别和区分不同类型的TLS客户端,例如Web浏览器、移动应用程序、恶意软件等。
JA4指纹:JA4指纹通过引入更多的上下文信息和算法,例如浏览器的版本、操作系统等,减少了JA3指纹可能导致的重复性问题。JA4指纹能够更准确地鉴别出真实的用户与伪装者,降低误识率。
HTTP/2指纹:根据HTTP2客户端的原始指纹,利用MD5算法处理后生成的HTTP2.0指纹。用来分析和识别不同的客户端,实现更安全和高效的通信。
如果检测到特定Client ID、网页端UMID、APP端UMID、JA3指纹、JA4指纹或HTTP/2指纹的访问数量异常时,可通过Bot高级自定义规则配置对其实施封禁。
查看流量分析
在Bot管理-流量分析控制台上,如果没有申请试用或购买Bot管理,可通过异常客户端的关联分析来初步判断当前机器流量的走势,如已试用或购买Bot管理,您可查看更详细的机器流量信息。
设置筛选条件
简单搜索(默认)
功能项 | 说明 |
日期范围(图①) | 默认展示今天的数据,可以查询最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7 天和30 天内的数据。 |
自定义日期、时间搜索范围(图②) | 可以根据实际需要选择特定的时间段,以便更精准地查看流量分析数据。 |
防护对象(图③) | 默认已选择所有对象,表示查询已接入WAF防护的所有对象的数据,也可以只查询某个对象的数据。 |
设置过滤条件(图④) | 可以设置Referer、域名、RequestPath、攻击IP和User-Agent。 |
高级搜索
功能项 | 说明 |
日期范围(图①) | 默认展示今天的数据,可以查询最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7 天和30 天内的数据。 |
自定义日期、时间搜索范围(图②) | 可以根据实际需要选择特定的时间段,以便更精准地查看流量分析数据。 |
设置过滤条件(图③) | 支持设置防护对象、源IP、请求路径、User-Agent、域名、Referer作为过滤条件,最多可设置10条。如果定义了多个条件,则只有当多个条件同时满足时,才算命中规则。 |
防护总览
在防护总览趋势图中,您可以查看恶意BOT、疑似BOT和友好BOT的走势。默认展示全部防护对象的数据,也可以根据您设置的过滤条件动态刷新。将鼠标悬停在趋势图的任意时间点上,可以显示该时刻的恶意BOT、疑似BOT和友好BOT数量。
流量TOP分析
功能项 | 说明 |
流量分类TOP IP | 可查看命中恶意BOT、疑似BOT和友好BOT的前10个IP。 |
规则命中TOP IP | 可查看命中不同标签的前10个IP。 |
客户端类型TOP统计 | 可查看Client ID、网页端UMID、APP端UMID、UserAgent四种客户端标识的统计情况。 |
流量指纹统计 | 可查看JA3指纹、JA4指纹、HTTP/2指纹三种指纹类型的统计情况。 |
请求头Top统计 | 可查看请求的前10个Host、Path、QueryString、Referer。 |
防护对象TOP统计 | 可查看根据筛选条件匹配出的请求次数前10个防护对象。 |