HTTP DDoS Conjunto de regras gerenciadas de proteção contra ataques

O conjunto de regras gerenciadas do CIS HTTP DDoS Attack Protection é um conjunto de regras pré-configuradas criadas para detectar e atenuar vetores de ataque conhecidos da Camada 7 (camada de aplicativo) DDoS em toda a rede global CIS.

Atualmente, o conjunto de regras HTTP DDoS Attack Protection só está disponível usando a API CIS.

O conjunto de regras gerenciadas ajuda a proteger contra:

  • Padrões e ferramentas de ataque conhecidos do DDoS
  • Comportamento suspeito de solicitação
  • Violações de protocolo
  • Solicitações que geram erros de origem excessivos
  • Inundações de tráfego direcionadas à origem ou ao cache
  • Outros vetores de ataque na camada de aplicativos

O conjunto de regras gerenciadas HTTP DDoS Attack Protection está sempre ativado para todos os clientes CIS e não pode ser desativado. No entanto, você pode personalizar a forma como o conjunto de regras responde aos ataques detectados.

O conjunto de regras também oferece visibilidade dos ataques da Camada 7 DDoS atenuados pelo CIS, permitindo que você analise a atividade de ataque ativa e histórica.

Configuração do conjunto de regras

Se você espera grandes volumes de tráfego legítimo, pode personalizar as configurações do HTTP DDoS Attack Protection para reduzir os falsos positivos, em que as solicitações legítimas são detectadas incorretamente como tráfego de ataque e bloqueadas ou contestadas.

Você pode ajustar o comportamento das regras no conjunto de regras gerenciado modificando os seguintes parâmetros:

  • A ação executada quando um ataque é detectado.
  • O nível de sensibilidade dos mecanismos de detecção de ataques.

Determinadas ações e níveis de sensibilidade estão disponíveis apenas em planos específicos do site CIS.

Atualmente, você pode definir substituições em nível de conta para o conjunto de regras gerenciadas HTTP DDoS Attack Protection somente por meio da API.

Para ajustar o comportamento da regra, use as APIs do conjunto de regras com a fase ddos_l7.

Disponibilidade

O conjunto de regras gerenciadas HTTP DDoS Attack Protection protege os clientes CIS em todos os planos e se aplica a todas as zonas. Os clientes podem configurar o conjunto de regras tanto no nível da zona quanto no nível da conta.

Os clientes dos planos Enterprise podem criar até 10 substituições (ou até 10 regras ao usar a API) com expressões personalizadas para adaptar a proteção do DDoS a diferentes categorias de solicitações recebidas.

Os clientes dos planos Standard podem criar apenas uma substituição e não podem personalizar a expressão da regra. Nesse caso, a substituição única (contendo uma ou mais definições de configuração) se aplica a todas as solicitações recebidas.

Parâmetros

Configure o conjunto de regras gerenciadas HTTP DDoS Attack Protection para alterar a ação aplicada a um determinado ataque ou modificar o nível de sensibilidade do mecanismo de detecção.

Você pode definir substituições usando a API de conjuntos de regras.

Os seguintes parâmetros estão disponíveis no conjunto de regras gerenciadas HTTP DDoS Attack Protection:

  • Ação
  • Nível de sensibilidade

Ação

Nome da propriedade da API: action.

A ação determina como o site CIS trata as solicitações HTTP que correspondem às regras do conjunto de regras gerenciadas HTTP DDoS Attack Protection.

Lista de ações disponíveis
Ação Valor da API Descrição
Bloco block Bloqueia as solicitações do site HTTP que correspondem à expressão da regra.
Desafio gerenciado managed_challenge
  • Os Managed Challenges reduzem o tempo que os usuários legítimos gastam resolvendo CAPTCHAs, selecionando dinamicamente um desafio apropriado com base nas características da solicitação.
Desafio interativo challenge Apresenta um desafio interativo aos clientes que fazem solicitações HTTP que correspondem à expressão da regra.
Log log Disponível somente nos planos Enterprise com Advanced DDoS Protection. Registra solicitações que correspondem à expressão de uma regra que detecta ataques HTTP DDoS. Recomendado para validar uma regra antes de tomar uma ação mais severa.
Fechamento da conexão Não aplicável (ação de regra interna que não pode ser usada em substituições) Instrui o cliente a estabelecer uma nova conexão desativando keep-alive, em vez de reutilizar a conexão existente. As solicitações existentes não são afetadas.
Forçar o fechamento da conexão Não aplicável (ação de regra interna que não pode ser usada em substituições).
  • Fecha as conexões ativas do HTTP, forçando o cliente a se reconectar. Essa ação não bloqueia solicitações individuais.
  • Para HTTP/2 e HTTP/3, a conexão é fechada mesmo que isso afete outras solicitações na mesma conexão.
  • A ação executada depende da versão do site HTTP:
  • HTTP/1: definir o cabeçalho Connection como close.
  • HTTP/2: enviar um quadro GOAWAY para o cliente.
DDoS Dinâmico Não aplicável (ação de regra interna que não pode ser usada em substituições). Executa uma ação específica de acordo com um conjunto de diretrizes internas definidas pelo site CIS. A ação executada pode ser uma das ações listadas ou outra atenuação não divulgada.

Nível de sensibilidade

Nome da propriedade da API: sensitivity_level.

O nível de sensibilidade define a agressividade com que a regra detecta ataques, ajustando os limites de atenuação:

  • A sensibilidade mais alta usa limites mais baixos e detecta ataques de forma mais agressiva.
  • A sensibilidade mais baixa usa limites mais altos e é menos agressiva.

Os níveis de sensibilidade disponíveis são:

Níveis de sensibilidade disponíveis
Valor da interface do usuário Valor da API
Alta default
Médio medium
Baixo low
Quase desligada eoff

O nível de sensibilidade padrão é Alto.

Quando você seleciona Essentially Off (Essencialmente desativado ), a regra normalmente não aciona ações de atenuação, incluindo Log. No entanto, se um ataque atingir uma escala excepcional, os sistemas de proteção CIS ainda aplicarão a atenuação para proteger a rede CIS.

A seleção de Essentially Off (Essencialmente desligado ) define um nível de sensibilidade extremamente baixo. Na maioria dos casos, o tráfego não é atenuado, mas ataques excepcionalmente grandes ainda são atenuados para manter a estabilidade da rede.

A sensibilidade controla se o tráfego é detectado como um ataque. A ação controla o que acontece quando um ataque é detectado.

Quando você seleciona Log, as solicitações são registradas e exibidas no painel sem atenuação. Assim como no caso do Essentially Off, ataques excepcionalmente grandes ainda são atenuados para proteger a rede CIS.

Categorias de regras

As regras gerenciadas do HTTP DDoS Attack Protection são agrupadas nas seguintes categorias (tags) com base no tipo de tráfego e no comportamento de atenuação.

Categorias de regras disponíveis
Nome Descrição
botnets Regras que detectam solicitações originadas de botnets conhecidos. Essas regras têm uma precisão de detecção muito alta e um baixo risco de falsos positivos. É recomendável que você mantenha essas regras ativadas.
unusual-requests Regras que identificam solicitações com características suspeitas que não são comumente observadas no tráfego legítimo.
advanced Regras associadas a recursos disponíveis para clientes Enterprise.
generic Regras que detectam e atenuam inundações de solicitações. Essas regras são eficazes contra ataques sem assinaturas conhecidas, mas também podem ser acionadas durante volumes excepcionalmente altos de tráfego legítimo. Para reduzir o risco de falsos positivos, essas regras usam um limite de ativação de solicitações por segundo (rps) mais alto. Por padrão, essas regras limitam a taxa ou desafiam o tráfego, mas você pode substituí-las para bloquear o tráfego, se necessário.
read-only Regras altamente direcionadas, projetadas para atenuar os ataques do DDoS com uma alta taxa de confiança. Essas regras são read-only. Não é possível substituir o nível de sensibilidade ou a ação deles.
test Regras usadas para testar os recursos de detecção, atenuação e alerta dos produtos de proteção CIS DDoS.

Links relacionados