انتقل إلى المحتوى

دقة ضبط كشف هجمات overlimit_res

تقضي عقدة Wallarm وقتًا محدودًا في معالجة كل طلب وارد، وإذا تجاوزت معالجة الطلب الوقت المحدد، تُعلم الطلب كهجوم تجاوز حدود الموارد (overlimit_res). تمكنك قاعدة دقة ضبط كشف هجمات overlimit_res من تخصيص الحد الزمني المخصص لمعالجة طلب واحد وسلوك العقدة الافتراضي عند تجاوز الحد.

يمنع تحديد وقت معالجة الطلب هجمات الالتفاف الهادفة إلى عقد Wallarm. في بعض الحالات، قد تشير الطلبات المعلمة كـoverlimit_res إلى عدم كفاية الموارد المخصصة لوحدات عقدة Wallarm مما ينتج عنه طول مدة معالجة الطلب.

سلوك العقدة الافتراضي

من الافتراضي أن تقضي عقدة Wallarm لا أكثر من 1000 ملي ثانية في معالجة كل طلب وارد.

إذا تجاوز الطلب الحد الزمني، تقوم عقدة Wallarm:

  1. بإيقاف معالجة الطلب.

  2. بتعليم الطلب كهجوم overlimit_res وتحميل تفاصيل الهجوم إلى سحابة Wallarm.

    إذا احتوى جزء الطلب المعالج أيضًا على أنواع هجوم أخرى، تحمل عقدة Wallarm تفاصيلها إلى السحابة كذلك.

    ستُعرض هجمات الأنواع المقابلة في قائمة الأحداث في واجهة مستخدم Wallarm.

  3. في الوضع المراقبة، تمرر العقدة الطلب الأصلي إلى عنوان التطبيق. لدى التطبيق خطر التعرض للهجوم باستخدام الهجمات المشمولة في أجزاء الطلب المعالجة وغير المعالجة.

    في وضع الحظر الآمن، تحظر العقدة الطلب إذا كان مصدره من عنوان IP المدرج في القائمة الرمادية. خلاف ذلك، تمرر العقدة الطلب الأصلي إلى عنوان التطبيق. لدى التطبيق خطر التعرض للهجوم باستخدام الهجمات المشمولة في أجزاء الطلب المعالجة وغير المعالجة.

    في وضع الحظر، تحظر العقدة الطلب.

معالجة الطلب في وضع "معطل"

في وضع معطل، لا تحلل العقدة حركة المرور الواردة وبالتالي، لا تكشف عن الهجمات الموجهة لتجاوز حدود الموارد.

تغيير سلوك العقدة الافتراضي

خطر التحايل على الحماية أو نفاد ذاكرة النظام

  • يُنصح بتغيير سلوك العقدة الافتراضي في المواقع المحددة جدًا حيث يكون ذلك ضروريًا بالفعل، مثلًا حيث يتم تحميل الملفات الكبيرة وحيث لا يوجد خطر التحايل على الحماية واستغلال الثغرات الأمنية.
  • قد يؤدي الحد الزمني العالي و/أو استمرار معالجة الطلب بعد تجاوز الحد إلى استنفاد الذاكرة أو معالجة الطلب خارج الوقت.

تمكنك قاعدة دقة ضبط كشف هجوم overlimit_res من تغيير سلوك العقدة الافتراضي كما يلي:

  • تعيين حد مخصص على معالجة طلب واحد

  • إيقاف أو متابعة معالجة الطلب عند تجاوز الحد الزمني

    إذا واصلت العقدة معالجة الطلب بعد تجاوز الحد الزمني، فإنها تحمل بيانات عن الهجمات المكتشفة إلى السحابة فقط بعد اكتمال معالجة الطلب بالكامل.

    إذا تم ضبط القاعدة على إيقاف المعالجة، توقف العقدة معالجة الطلب بمجرد تجاوز الحد الزمني. ثم تمرر الطلب إلا إذا تم ضبطها على تسجيل هجوم وهي في وضع الحظر. في هذه الحالة، تحظر العقدة الطلب وتسجل هجوم overlimit_res.

  • تسجيل هجوم overlimit_res عند تجاوز حد زمن معالجة الطلب أم لا

    إذا تم ضبط العقدة على تسجيل الهجوم، فإنها إما تحظر الطلب أو تمرره إلى عنوان التطبيق بناءً على وضع التصفية.

    إذا لم تُضبط العقدة على تسجيل الهجوم ولم يحتوي الطلب على أنواع هجمات أخرى، تمرر العقدة الطلب الأصلي إلى عنوان التطبيق. إذا احتوى الطلب على أنواع هجمات أخرى، تحظر العقدة الطلب أو تمرره إلى عنوان التطبيق بناءً على وضع التصفية

لا تتيح القاعدة لك:

  • تعيين وضع الحظر لهجمات overlimit_res بمعزل عن التكوينات الأخرى. إذا تم اختيار خيار التسجيل والعرض في الأحداث، إما أن تحظر العقدة هجوم overlimit_res أو تمرره إلى عنوان التطبيق بناءً على وضع التصفية المضبوط للنقطة النهائية المقابلة.

مثال على القاعدة

  • تزيد القاعدة الحد الزمني لمعالجة كل طلب POST إلى https://example.com/upload حتى 1020 ملي ثانية. تؤدي النقطة النهائية المحددة تحميل الملفات الكبيرة.

  • تظل باقي معايير سلوك العقدة افتراضية - إذا ما قامت العقدة بمعالجة الطلب لمدة تزيد عن 1020 ملي ثانية، توقف الطلب وتسجل هجوم overlimit_res.

مثال على القاعدة "التسجيل والعرض في الأحداث"