Multi-Saldırı Yapıcılarından Korunma¶
Wallarm, engelleme modunda olduğunda, kötü amaçlı içerikli tüm istekleri otomatik olarak engeller ve yalnızca meşru isteklerin geçişine izin verir. Aynı IP'den gelen farklı kötü amaçlı içeriklerin sayısı (genellikle multi-attack perpetrator olarak adlandırılan) belirli bir eşiği aştığında, Wallarm tepkisini ayarlayarak uygulamalarınız ve API'niz için ek koruma yapılandırabilirsiniz.
Bu tür saldırganlar otomatik olarak denylist'e alınabilir; bu liste, geçmişte çok sayıda kötü amaçlı istek üretmiş olmaları nedeniyle, kötü amaçlı olup olmadıkları analiz edilmeksizin tüm isteklerini engellemeye başlar.
Yapılandırma¶
Çoklu saldırı yapıcılardan korunmayı nasıl yapılandıracağınızı öğrenmek için aşağıdaki örneği inceleyin.
Diyelim ki, bir IP'den saatte 3'ten fazla kötü amaçlı içerik gelmesini, o IP'yi tamamen engellemek için yeterli bir neden olarak değerlendiriyorsunuz. Bunu yapmak için ilgili eşiği ayarlayıp, sisteme orijinal IP'yi 1 saat boyunca engellemesi talimatını verirsiniz.
Bu korumayı sağlamak için:
-
Wallarm Console'u açın → Triggers kısmına gidin ve tetikleyici oluşturma penceresini açın.
-
Number of malicious payloads koşulunu seçin.
-
Eşiği
her saat aynı IP'den 3'ten fazla kötü amaçlı istek
olarak ayarlayın.Sayılmayanlar
Deneysel içerikler, custom regular expressions kullanılarak oluşturulur.
-
Hiçbir filtre ayarlamayın, ancak diğer durumlarda aşağıdaki filtreleri ayrı ya da birlikte kullanabileceğinizi unutmayın:
- Type; istekte tespit edilen bir saldırı type veya isteğin yöneldiği güvenlik açığı türüdür.
- Application; isteği alan application'dır.
- IP; isteğin gönderildiği IP adresidir. Filtre yalnızca tek IP'leri bekler; alt ağlara, lokasyonlara ve kaynak türlerine izin vermez.
- Domain; isteği alan alan adıdır.
- Response status; isteğe döndürülen yanıt kodudur.
-
Denylist IP address -
Block for 1 hour
tetikleyici tepkisini seçin. Eşiğin aşılmasının ardından Wallarm, orijinal IP'yi denylist'e ekleyecek ve bundan sonraki tüm istekleri engelleyecektir.Not: Çoklu saldırı koruması nedeniyle bot IP denylist'e eklenmiş olsa dahi, varsayılan olarak Wallarm, bu IP'den gelen engellenmiş isteklerle ilgili istatistikleri toplar ve görüntüler.
-
Tetikleyiciyi kaydedin ve Cloud and node synchronization completion'ın tamamlanmasını bekleyin (genellikle 2-4 dakika sürer).
Önceden Yapılandırılmış Tetikleyici¶
Yeni şirket hesapları, 1 saat içerisinde 3'ten fazla farklı kötü amaçlı içerik üretildiğinde, IP'yi 1 saat boyunca graylist'e ekleyen, önceden yapılandırılmış (varsayılan) Number of malicious payloads tetikleyicisiyle birlikte gelir.
Graylist, düğüm tarafından işlenen şüpheli IP adreslerinin bulunduğu listedir: Graylist'e alınan bir IP kötü amaçlı istek oluşturduğunda, düğüm bu istekleri engellerken meşru isteklerin geçişine izin verir. Graylist'e karşılık, denylist ise uygulamalarınıza ulaşmasına hiç izin verilmeyen IP adreslerini belirtir - düğüm, denylist'e eklenmiş kaynaklar tarafından üretilen meşru trafiği bile engeller. IP graylist'e alma, false positives oranını azaltmaya yönelik seçeneklerden biridir.
Tetikleyici, herhangi bir node filtreleme modunda etkin olduğundan, düğüm modundan bağımsız olarak IP'leri graylist'e alır.
Ancak, düğüm graylist'i yalnızca safe blocking modunda analiz eder. Graylist'e alınmış IP'lerden gelen kötü amaçlı istekleri engellemek için, önce özelliklerini öğrenerek düğüm modunu safe blocking'e geçirin.
Brute force, Forced browsing, Resource overlimit, Data bomb veya Virtual patch saldırı türleri bu tetikleyicide dikkate alınmaz.
Varsayılan tetikleyiciyi geçici olarak devre dışı bırakabilir, düzenleyebilir veya silebilirsiniz.
Test¶
Aşağıdakiler, önceden yapılandırılmış tetikleyici için test örneğidir. Bunları tetikleyici görünümünüze göre ayarlayabilirsiniz.
-
Aşağıdaki istekleri korunan kaynağa gönderin:
curl 'http://localhost/?id=1%27%20UNION%20SELECT%20username,%20password%20FROM%20users--<script>prompt(1)</script>' curl 'http://localhost/?id=1%27%20select%20version();' curl http://localhost/instructions.php/etc/passwd
Bunlar, SQLi, XSS ve Path Traversal türlerinden toplam 4 kötü amaçlı içeriktir.
-
Wallarm Console'u açın → IP lists → Graylist bölümüne gidin ve isteklerin gönderildiği IP adresinin 1 saat boyunca graylist'e alındığını kontrol edin.
-
Attacks bölümünü açın ve saldırıların listede görüntülendiğini kontrol edin:
Saldırıları aramak için
multiple_payloads
arama etiketi kullanabilirsiniz.