الحماية من مرتكبي الهجمات المتعددة¶

عندما يكون Wallarm في وضع الحجب، فإنه يحجب تلقائياً كافة الطلبات التي تحتوي على حمولات ضارة، مسمحاً بمرور الطلبات المشروعة فقط. يمكنك تكوين حماية إضافية لتطبيقاتك وواجهة برمجة التطبيقات من خلال ضبط استجابة Wallarm في حال تجاوزت الحمولات الضارة المختلفة الصادرة من نفس عنوان بروتوكول الإنترنت (والذي يُشار إليه غالبًا بمرتكب الهجمات المتعددة) العتبة المحددة.

يمكن وضع هؤلاء المرتكبين تلقائياً في القائمة السوداء، والتي تبدأ بحجب جميع الطلبات الصادرة منهم، دون إضاعة الوقت في تحليل ما إذا كانت ضارة أم لا، استناداً فقط إلى حقيقة أن هذا المصدر أنتج الكثير من الطلبات الضارة في الماضي.

التكوين¶

لتكوين الحماية من مصادر طلبات الضارة:

افتح وحدة تحكم Wallarm → المُشغلات وافتح نافذة إنشاء المُشغل.
حدد شرط عدد الحمولات الضارة.
حدد عدد الحمولات الضارة المختلفة من عنوان IP واحد لكل فترة زمنية. عند تجاوز هذا العدد خلال الفترة الزمنية المحددة، سيتم تفعيل المُشغل.

ما لا يتم احتسابه

الحمولات التجريبية المستندة إلى التعبيرات العادية المخصصة.
إذا لزم الأمر، حدد واحداً أو عدة مرشحات:
- النوع هو نوع الهجوم المُكتشف في الطلب أو نوع الثغرة الأمنية التي يستهدفها الطلب.
- التطبيق هو التطبيق الذي يتلقى الطلب.
- IP هو عنوان IP والذي يُرسل منه الطلب.
  
  المرشح يتوقع عناوين IP فردية فقط، لا يسمح بالشبكات الفرعية والمواقع وأنواع المصادر.
- المجال هو المجال الذي يتلقى الطلب.
- حالة الاستجابة هي رمز الاستجابة الذي يُرجع للطلب.
- الهدف هو جزء من هيكلية التطبيق الذي يستهدفه الهجوم أو التي يتم اكتشاف الحادث فيها. يمكن أن تأخذ القيم التالية: Server, Client, Database.
حدد استجابات المُشغل:
- أدرج IP في القائمة السوداء الصادرة عن طلبات ضارة وفترة الحجب.
  
  سيقوم عقدة Wallarm بحجب كل من الطلبات المشروعة والضارة الصادرة من IP المُدرج في القائمة السوداء.
- أدرج IP في القائمة الرمادية الصادرة عن طلبات ضارة وفترة الحجب.
  
  ستقوم عقدة Wallarm بحجب الطلبات الصادرة من IPs المدرجة في القائمة الرمادية فقط إذا كانت الطلبات تحتوي على علامات الهجوم التحقق من صحة الإدخال، ال vpatch أو المخصصة.
احفظ المشغل وانتظر اكتمال مزامنة السحابة والعقدة (عادةً ما يستغرق الأمر 2-4 دقائق).

المُشغل المُعد مسبقًا¶

تتميز الحسابات الشركة الجديدة بمُشغل عدد الحمولات الضارة المعد مسبقًا (الافتراضي) الذي يدخل IP في القائمة الرمادية لمدة ساعة واحدة عندما ينشئ أكثر من 3 حمولات ضارة مختلفة خلال ساعة واحدة.

القائمة الرمادية هي قائمة بعناوين IP المشبوهة التي تعالجها العقدة على النحو التالي: إذا كانت IP المدرجة في القائمة الرمادية تنشئ طلبات ضارة، تحجب العقدة هذه الطلبات بينما تسمح بمرور الطلبات المشروعة. على عكس القائمة الرمادية، تشير القائمة السوداء إلى عناوين IP التي لا يُسمح لها بالوصول إلى التطبيقات الخاصة بك على الإطلاق - العقدة تحجب حتى الطلبات المشروعة التي تنتجها المصادر المدرجة في القائمة السوداء. إدراج IP في القائمة الرمادية هو أحد الخيارات الهادفة إلى تقليل الإيجابيات الكاذبة.

يتم إطلاق المشغل في أي وضع ترشيح للعقدة، بحيث سيدخل IPs في القائمة الرمادية بغض النظر عن وضع العقدة.

مع ذلك، تحلل العقدة القائمة الرمادية في وضع الحجب الآمن فقط. لحجب الطلبات الضارة الصادرة عن IPs المدرجة في القائمة الرمادية، حول وضع العقدة إلى وضع الحجب الآمن مع معرفة ميزاته أولاً.

الضربات مع أنواع هجوم القوة الغاشمة والتصفح القسري وتجاوز حدود الموارد وقنبلة البيانات أو هجوم التصحيح الافتراضي لا تُعتبر في هذا المشغل.

يمكنك تعطيل المُشغل الافتراضي مؤقتًا أو تعديله أو حذفه.

الاختبار¶

فيما يلي مثال على اختبار المشغل المُعد مسبقًا. يمكنك تعديله لمطابقة عرض المشغل الخاص بك.

أرسل الطلبات التالية إلى المورد المحمي:

curl 'http://localhost/?id=1%27%20UNION%20SELECT%20username,%20password%20FROM%20users--<script>prompt(1)</script>'
curl 'http://localhost/?id=1%27%20select%20version();'
curl http://localhost/instructions.php/etc/passwd

هناك 4 حمولات ضارة من أنواع SQLi، XSS، وPath Traversal.

افتح وحدة تحكم Wallarm → قوائم IP → القائمة الرمادية وتحقق من أن عنوان IP الذي تم إرسال الطلبات منه مدرج في القائمة الرمادية لمدة ساعة واحدة.
افتح قسم الهجمات وتحقق من عرض الهجمات في القائمة:

للبحث عن الهجمات، يمكنك استخدام العلامة multiple_payloads بحث.