TrabalhosGratuitos.com - Trabalhos, Monografias, Artigos, Exames, Resumos de livros, Dissertações
Pesquisar

DETECÇÃO E BLOQUEIO DE ROBÔS - ATUAL

Por:   •  31/5/2018  •  Tese  •  370 Palavras (2 Páginas)  •  220 Visualizações

Página 1 de 2

DETECÇÃO E BLOQUEIO DE ROBÔS - ATUAL

Monitorando WAF: Monitor / Security Monitor

View padrão – Clicar em Security_Monitor_Zapcorp e escolher default:

Obs: A monitoração deve ser dada em cima do warning apenas.

[pic 1]

Formas de detecção:

  • Envio de warnings por e-mail (mon_waf@zapcorp.com.br), quando:
  • Um Ip trigga mais de  5 rules/minuto;
  • Um IP trigga mais de 20 páginas/minuto;
  • Um IP trigga mais de 20 ocorrências/minuto;
  • Visual no console do WAF a cada hora – pelo time de monitoração.

        

Identificação de um possível robô:

  • Triggando páginas sem header e/ou user-agent;
  • Excesso de triggers;
  • Triggando páginas usando um padrão (Ex: Um IP acessando sem user-agent 3 vezes uma página em diversas páginas);
  • Ataques ocorrendo em horário onde o atacante supõe que não terá security admins de plantão (Ex: finais de semana, de madrugada, na hora do almoço – considerando horário local e horário do timezone do atacante);
  • Triggando de forma persistente  (Ex: mais de 5 minutos);
  • IP onde o owner é um cloud server.

Bloqueio de  IP

  • Se o IP for de provedor de acesso (GVT, Net, Tim, etc), fazer o bloqueio e deixa-lo em quarentena por 4 dias onde ao liberar, deverá feito uma nova GMUD. Se o problema persistir, deixa-lo em quarentena por 13 dias e se houver a terceira ocorrência, bloquea-lo em definitivo e contatar formalmente o abuse do provedor de acesso para providências (fazer follow-up);
  • Se o IP for de cloud web server (AWS, Azure, Nobis, etc)  ou DC fazer o bloqueio em definitivo e contatar formalmente o abuse do provedor de acesso (fazer follow-up);
  • Se o IP for de provedor coletivo, contatar o admin para investigar o IP antes de proceder com o bloqueio

- Fazer GMUD informando o IP, Owner IP a ser bloqueado, tipo de ataque (no caso: excessive web crawling), data/hora do ataque

- Clicar no IP e escolher Block IP, escolher zap_blacklist e clicar em Block IPs. (obs: o tempo de propagação total da regra é de 30min a 60min).

[pic 2]

[pic 3]

Estudo para aplicação de regras

  • Bloqueio de regras: 699991, 960015, 960009;
  • Riskscore: Outbound Anormally;
  • Rate Control;
  • Bloqueio de IPs de Cloud Webservers e Data Centers.

...

Baixar como (para membros premium)  txt (2.2 Kb)   pdf (515.8 Kb)   docx (184.2 Kb)  
Continuar por mais 1 página »
Disponível apenas no TrabalhosGratuitos.com