Vuruşların Gruplanması ve Örneklenmesi¶

analyzing attacks işlemi sırasında, kötü niyetli isteklerin nasıl sunulduğunu anlamak önemlidir. Wallarm, saldırı listesini sadeleştirmek için vuruş gruplama ve örnekleme teknikleri kullanır. Bu teknikler bu makalede açıklanmıştır.

Vuruşların Gruplanması¶

Wallarm, vuruşları iki gruplama yöntemi kullanarak tek bir saldırı altında toplar:

• Temel gruplama

• Kaynak IP tarafından vuruşların gruplandırılması

Bu yöntemler birbirini dışlamaz. Vuruşlar her iki yönteme ait özellikler taşıyorsa, tümü tek bir saldırı altında gruplanır.

Temel Gruplama¶

Vuruşlar, aynı saldırı türüne, kötü niyetli payload içeren parametreye ve vuruşların gönderildiği adrese sahip olduklarında gruplanır. Vuruşlar, aynı veya farklı IP adreslerinden gelebilir ve aynı saldırı türü içinde kötü niyetli payload değerleri farklı olabilir.

Bu vuruş gruplama yöntemi temel olup tüm vuruşlara uygulanır ve devre dışı bırakılamaz veya değiştirilemez.

Kaynak IP Tarafından Gruplama¶

Vuruşlar, aynı kaynak IP adresine sahip olduklarında gruplanır. Gruplandırılan vuruşlar farklı saldırı türlerine, kötü niyetli payloadlara ve URL'lere sahipse, saldırı parametreleri saldırı listesinde [multiple] etiketi ile işaretlenir.

Bu vuruş gruplama yöntemi, Brute force, Forced browsing, BOLA (IDOR), Resource overlimit, Data bomb ve Virtual patch saldırı türleri dışındaki tüm vuruşlarda çalışır.

Vuruşlar bu yöntemle gruplanırsa, Mark as false positive düğmesi ve active verification seçeneği saldırı için kullanılamaz.

Kaynak IP'ye göre gruplama, varsayılan olarak Wallarm Console → Triggers menüsünde bulunan Hits from the same IP varsayılan tetikleyicisi ile etkindir; bu tetikleyici, tek bir IP adresinden 15 dakika içinde 50'den fazla vuruş geldiğinde devreye girer.

Kaynak IP'ye göre gruplamayı ihtiyaçlarınıza göre ayarlayabilirsiniz: bunu Hits from the same IP tipinde kendi özel tetikleyicilerinizi oluşturarak yapın. Herhangi bir özel tetikleyici oluşturduğunuzda varsayılan tetikleyici silinir; tüm özel tetikleyicilerinizi sildiğinizde, varsayılan tekrar geri yüklenir. Varsayılan tetikleyiciyi geçici olarak devre dışı bırakarak gruplamayı duraklatmanız da mümkündür.

Vuruşların Örneklenmesi¶

Saldırı detayları oluşturulurken, Wallarm, yalnızca benzersiz vuruşları göstererek saldırı hakkındaki bilgileri analiz için daha konforlu hale getirir - benzer ve aynı vuruşlar Wallarm Cloud'a yükleme sırasında atlanır ve görüntülenmez. Bu sürece vuruş örnekleme denir.

Vuruş örneklemesi, saldırı tespit kalitesini etkilemez, ancak yavaşlamayı önlemeye yardımcı olur. Wallarm node, örnekleme etkin olsa bile saldırı tespiti ve blocking işlemine devam eder.

Hits sampling is enabled bildirimi, örneklemenin şu anda aktif olduğunu gösterir. Sadece örneklemenin uygulandığı saldırıları görmek için bu bildirime tıklayabilir veya arama alanına sampled ekleyebilirsiniz. Saldırı detaylarında benzer kaç vuruşun tespit edildiğini ancak görüntülenmediğini göreceksiniz:

Atlanan istekler, Wallarm node tarafından işlenen istekler olmaya devam ettiğinden, node detaylarındaki RPS değeri atlanan her istek ile artar. Threat Prevention dashboard üzerindeki istek ve vuruş sayısı da atlanan vuruş sayısını içerir.

Vuruş örneklemesi etkin olduğunda

• input validation attacks için, vuruş örneklemesi varsayılan olarak devre dışı bırakılmıştır. Trafiğinizdeki saldırı yüzdesi yüksekse, vuruş örneklemesi iki ardışık aşamada gerçekleştirilir: extreme ve regular.

• behavioral attacks, Data bomb ve Resource overlimiting saldırıları için: regular örnekleme algoritması varsayılan olarak etkindir. Trafiğinizdeki saldırı yüzdesi yüksekse, extreme örnekleme ancak o zaman başlar.

• Denylisted IP'lerden gelen etkinlikler için, örnekleme node tarafında yapılandırılır. Node, Cloud'a yalnızca ilk 10 aynı isteği yüklerken, diğer vuruşlara örnekleme algoritması uygular.

Trafikteki saldırı yüzdesi azaldığında örnekleme otomatik olarak devre dışı bırakılacaktır.

Extreme Örnekleme¶

Extreme örnekleme algoritmasının temel mantığı şöyledir:

• Vuruşlar input validation tipindeyse, algoritma Cloud'a yalnızca benzersiz kötü niyetli payloadlara sahip olanları yükler. Bir saat içinde aynı payloada sahip birkaç vuruş tespit edilirse, yalnızca ilk tespit edilen Cloud'a yüklenir, diğerleri atlanır.

• Vuruşlar behavioral, Data bomb veya Resource overlimiting tipindeyse, algoritma Cloud'a yalnızca tespit edilen ilk %10'unu yükler.

Regular Örnekleme¶

Regular algoritma, extreme aşama sonrası kaydedilen vuruşları işler; vuruşlar behavioral, Data bomb veya Resource overlimiting tipindeyse, extreme örnekleme devre dışı bırakılmışsa orijinal vuruş kümesi işlenir.

Regular örnekleme algoritmasının temel mantığı şöyledir:

1. Her saat için ilk 5 aynı vuruş, Wallarm Cloud'da örnek olarak kaydedilir. Geri kalan vuruşlar örneğe kaydedilmez, ancak sayıları ayrı bir parametrede kaydedilir.

   Vuruşlar, aşağıdaki tüm parametrelerin aynı değerlere sahip olması durumunda aynıdır:

   • Saldırı türü
   • Kötü niyetli payload içeren parametre
   • Hedef adres
   • İstek yöntemi
   • Yanıt kodu
   • Kaynak IP adresi

2. Vuruş örnekleri, etkinlik listesinde saldırılara gruplanır.

Was this page helpful?

How can we improve this article? (Optional)

Information is unclear or confusing

Insufficient information

Outdated or incorrect information

0/240

Send