Web Application Firewall:HTTPフラッド攻撃を防ぐためのベストプラクティス

攻撃の種類に基づいて、使用する保護ポリシーを決定できます。

• ボリュームと高レートのHTTPフラッド攻撃

• 中国以外の地域や公共の雲からの攻撃

• 不正パケット

• API の悪用

• 悪質なスキャン

• アプリ攻撃

• 悪意のあるクローラー

次の図に示すように、ルールを設定できます。 このルールは、ドメイン名の下の任意のパスに対して30秒間隔で1,000を超えるリクエストを開始するすべてのIPアドレスをブロックします。 ブロッキング期間は10時間続きます。 このルールは、中小規模のWebサイトを保護するために使用されます。

保護パスの変更、しきい値の調整、保護要件に最適なアクションの選択を行うことができます。 たとえば、ログインエンドポイントでの資格情報の詰め込みを防ぐには、[マッチング] フィールドをURLに、[マッチングコンテンツ] を /login.phpに設定し、60秒以内にパスにアクセスするための20を超えるリクエストを送信するIPアドレスをブロックします。

HTTPフラッド保護ポリシーを設定するときは、次の点に注意してください。

• ActionドロップダウンリストのCaptchaおよびStrict Captchaは、リクエストが人間またはオートメーションスクリプトからのものであるかどうかを確認することを目的としています。 これらの2つのアクションを使用して、ネイティブアプリやAPIではなく、共通およびHTML5 webページを保護できます。 ネイティブアプリとAPIを保護するには、Actionをblockに設定します。

• [アクセス制御 /スロットリング] タブで、HTTPフラッド保護によって誤ってブロックされる可能性のあるAPIまたはIPアドレスのホワイトリストポリシーを設定できます。 詳細については、「アクセス制御 /スロットリングのホワイトリストの設定」をご参照ください。

• HTTPフラッド保護セクションで、ネイティブアプリまたはAPIの保護-緊急モードを選択しないでください。

WAF Enterpriseエディションのインスタンスを購入した場合は、カスタム統計オブジェクト、IPアドレス、およびセッションを使用してレート制限を設定できます。 IPアドレスをブロックすると、NATに影響する可能性があります。 ユーザーを統計オブジェクトとして識別するCookieまたはパラメーターを使用できます。 次の例では、ユーザーを識別するために使用されるcookieに基づいてリクエストレートが計算され、リクエストの検証にはCaptchaが使用されます。 cookieの形式がuid=12345であるとします。

Webサイトが中国国内のユーザーをターゲットにしている場合、中国以外のリージョンからのリクエストをブロックして、この種の攻撃を軽減できます。 WAFは、この目的のためにエリアベースのIPブラックリスト機能を提供します。 詳細については、「ブラックリストの設定」をご参照ください。

Alibaba Cloud、Tencent Cloud、オンプレミスのデータセンターのCIDRブロックなど、共通IPライブラリのクローラIPアドレスをブロックする必要がある場合は、[ボット管理] タブの [ボット脅威インテリジェンス] 機能を使用できます。

例: 次のボット脅威インテリジェンスルールを使用して、Tencent CloudのクローラIPアドレスからのアクセスをブロックできます。 詳細については、「ボット脅威インテリジェンスルールの設定」をご参照ください。

HTTPフラッド攻撃の悪意のあるリクエストは特別に作成され、不正なパケットが含まれます。 不正なパケットには、次の機能があります。

• User-Agent文字列が異常または不正な場合: 自動化ツール (Pythonなど) の特性を持つ、フォーマットが正しくない (Mozilla /// など) 、または通常のリクエスト (www.example.comなど) で使用できません。 異常または不正なUser-Agent文字列が検出された場合は、リクエストをブロックします。

• Unusual User-Agent文字列: WeChatユーザーをターゲットとするプロモーションHTML5ページは、WeChatを介してアクセスすることになっています。 User-Agent文字列が、Microsoft Internet Explorer 6.0などのWindowsデスクトップブラウザーからリクエストが送信されていることを示している場合は異常です。 異常なUser-Agent文字列が検出された場合は、リクエストをブロックします。

• 異常リファラーフィールド: リクエストにリファラーフィールドがない場合、または不正なWebサイトのアドレスを識別するリファラーフィールドがある場合は、リクエストをブロックします。 ただし、ユーザーが初めてホームページまたはWebサイトにアクセスした場合、リクエストにリファラーフィールドが含まれていない場合があります。 リダイレクトを使用してのみURLにアクセスできる場合は、リファラーフィールドに基づいてURLをブロックするかどうかを決定できます。

• Abnormal cookie: リファラーフィールドと同様に、通常のリクエストには、ユーザーが初めてWebサイトにアクセスする場合を除き、リクエストされたWebサイトを識別するcookieが含まれます。 HTTPフラッド攻撃の悪意のあるリクエストには、通常、cookie情報は含まれません。 Cookieなしでアクセス要求をブロックできます。

• HTTPヘッダーの欠落: 通常のリクエストには認証ヘッダーが含まれますが、悪意のあるリクエストには含まれません。

• 不正なリクエストメソッド: APIが以前にPOSTリクエストを受信しただけでGETリクエストに圧倒された場合、これらのGETリクエストをブロックできます。

設定例:

• 例1: Cookieを含まないリクエストをブロックします。

• 例2: 承認ヘッダーを含まないリクエストをブロックします。

悪意なスキャンが多数ある場合、サーバーのパフォーマンスに重大な脅威をもたらします。 レート制限とは別に、スキャン保護機能を使用してセキュリティを強化することもできます。 スキャン保護は次の設定をサポートします。

• 高頻度Web攻撃を開始するIPのブロック: 高頻度web攻撃を開始するクライアントIPアドレスを自動的にブロックします。

• ディレクトリトラバーサル防止: 複数のディレクトリトラバーサル攻撃を短時間で開始するクライアントIPアドレスを自動的にブロックします。

• スキャンツールのブロック: 一般的なスキャンツールまたはAlibaba Cloudの悪意のあるIPライブラリで定義されているIPアドレスからのアクセスリクエストを自動的にブロックします。

• Collaborative Defense: Alibaba Cloud悪意のあるIPライブラリで定義されたIPアドレスからのアクセス要求を自動的にブロックします。