功能介绍
- 攻击者常通过脚本、工具频繁调用某个接口完成账号暴力破解、批量注册等恶意行为。
- 高频的请求不仅不符合用户正常的操作行为,并且也容易导致接口高负载出现不稳定。
- 接口滥用拦截可识别客户端的异常高频的API请求,并进行实时拦截,防止接口被恶意滥用。
前提条件
注意未订购“API安全”扩展能力,接口滥用拦截功能设置“关闭”、“告警”动作,无法设置“拦截”动作。
操作步骤
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【安全能力】,进入【API安全】菜单,并在左侧域名列表选择您要防护的域名。
- 进入安全防护-【接口滥用拦截】详细设置页。
配置说明
新增检测项
| 配置项 | 说明 |
|---|---|
| 检测项 | 支持快捷选择系统内置的检测项(包括暴力破解、批量注册、批量导出),或选择自定义接口滥用。 若选择系统内置的检测项,则防护对象会自动填充。 |
| 检测项名称 | 当“检测项”选择“自定义接口滥用”,需要设置检测项名称。 检测项名称不允许重复。 |
| 防护开关 | 拦截:当客户端请求行为匹配检测规则,则拦截客户端请求。 关闭:该检测项不生效。 告警:当客户端请求行为匹配检测规则,不会拦截客户端请求,但会产生攻击日志。 |
| 拦截时间 | 客户端触发检测规则的处置时长。 |
| 防护对象 | 设置需要防护的API资产对象。支持从三个维度设置API防护对象: API:从API资产中选择防护对象。 标签:关联标签的API资产。如:敏感信息包含银行卡号和手机号的API资产。 URI:API资产中,满足正则规则的API资产。 |
| 统计周期 | 设置统计周期。 |
| 统计阈值 | 设置统计阈值。 |
| 检测粒度 | 设置检测粒度,支持设置IP、IP+UA。 |
举例:
配置自定义接口滥用规则,防护开关为拦截,拦截时间为30分钟,防护对象为GET /aaa,统计周期为10分钟,统计阈值为100,检测粒度的IP。
当在10分钟内统计到某个IP对于GET /aaa的请求次数达到100次,则对该IP后续针对GET /aaa的请求继续拦截,拦截时间为30分钟。
攻击日志支持一键加白
- 在接口滥用拦截功能相关设置中,对于产生的攻击日志,系统提供了一键加白的便利操作。
- 当发现某些被误判为异常高频请求而记录在攻击日志中的情况,可通过该一键加白功能快速将相关IP、请求等对应信息从后续严格监控及拦截的范围中排除,使其能正常进行后续请求,而不会再因符合之前可能触发拦截的规则而被限制。
- 这样能更精准地进行接口安全防护,在有效拦截真正恶意滥用接口行为的同时,减少对正常业务的不必要干扰。
以下攻击类型的攻击日志开放一键加白功能:
