Перейти к содержанию

Настройка защиты от брутфорса

К разновидностям брутфорс атак относятся:

  • Перебор паролей

  • Перебор идентификаторов сессии

  • Принудительный просмотр ресурсов веб‑приложения (дирбаст, forced browsing)

  • Подстановка учетных данных

Такие атаки характеризуются большим количеством запросов, отправленных на типовой URL за определенный временной промежуток. При этом в запросах передаются разные значения параметров, по которым осуществляется перебор.

Подробное описание брутфорса →

Ограничения в обнаружении брутфорса

Валарм WAF ищет признаки брутфорс атак только в следующих запросах:

В этой инструкции приведены шаги для настройки защиты ресурсов от брутфорса.

Шаги для настройки защиты от брутфорса

  1. Включите модуль Защита от брутфорса в план подписки на Валарм WAF. Для этого отправьте запрос на sales@wallarm.ru.

  2. Если WAF‑нода установлена за балансировщиком нагрузки или прокси‑сервером, настройте проброс реального IP‑адреса клиента.

  3. Настройте триггер Отметить как брутфорс/дирбаст.

  4. Протестируйте настройки для защиты от брутфорса.

Настройка триггера для определения брутфорса

  1. Перейдите в Консоль управления Валарм → секция Триггеры и откройте окно создания триггера.

  2. Выберите условие Количество запросов и задайте порог количества запросов или используйте значение по умолчанию.

    • Если указанный порог будет превышен, запросы будут отмечены как брутфорс атака.
    • Если указанный порог будет превышен и в ответ на все запросы вернется код 404, запросы будут отмечены как дирбаст атака.
  3. Задайте URL, по которому необходимо фильтровать все запросы из трафика для срабатывания триггера. Например:

    • Для настройки защиты от перебора паролей задайте URL для аутентификации пользователей на ресурсе
    • Для настройки защиты от дирбаста задайте URL директории с файлами ресурса

    URL можно задать одним из способов:

    • В правиле на определение счетчика атак для любого порта, который принимает входящие запросы. Созданный счетчик необходимо выбрать в фильтре Название счетчика.
    • С помощью фильтра URL, если защищемый ресурс принимает входящие запросы на любом порту, кроме 80 и 443. В значении фильтра необходимо указать полный URL в формате: host:port/path (например: example.com:8888/api/frontend/login).
  4. Если требуется, задайте другие фильтры для запросов:

    • Приложение, на которое отправлены запросы.
    • Один или несколько IP, с которых отправлены запросы.
  5. Выберите реакции триггера:

    • Отметить как брутфорс/дирбаст, чтобы отметить запросы, отправленные после срабатывания настроенного порога запросов, как брутфорс или дирбаст атаку. При этом запросы не будут заблокированы. Для блокировки запросов необходимо также настроить реакцию Добавить IP в черный список.
    • Добавить IP в черный список и время блокировки IP, чтобы заблокировать IP‑адрес или IP‑адреса, с которых были отправлены вредоносные запросы. Все запросы, отправленные после срабатывания настроенного порога запросов, будут блокироваться WAF‑нодой.

Пример настроенного правила на определение счетчика атак и триггера:

Триггер брутфорс/дирбаст

Описание приведенного примера и других примеров триггеров для защиты от брутфорса доступно по ссылке.

Для защиты от брутфорса вы можете настроить несколько триггеров с разными условиями и фильтрами.

Тестирование настройки для защиты от брутфорса

  1. Отправьте на защищенный URL количество запросов, которое превышает настроенный порог. Например, 50 запросов на example.com/api/frontend/login:

    for (( i=0 ; $i<51 ; i++ )) ; do curl https://example.com/api/frontend/login ; done
    
  2. Перейдите в Консоль управления Валарм → секция Черный список и убедитесь, что IP‑адрес, с которого были отправлены запросы, заблокирован на время, указанное в триггере.

  3. Откройте секцию События и убедитесь, что запросы отображаются в списке как брутфорс или дирбаст атака. Например:

    Дирбаст атаки в интерфейсе

    Количество запросов в интерфейсе соответствует количеству запросов, которые были отправлены после срабатывания триггера (подробнее об обнаружении поведенческих атак). Если количество больше 5, к запросам применяется алгоритм семплирования и в интерфейсе отображается подробная информация о 5 первых хитах (подробнее о применении алгоритма семплирования).

    Про поиске вы можете использовать фильтры, например: dirbust для дирбаст атак или brute для брутфорс атак. Описание всех фильтров доступно в инструкции по использованию поиска.

Демо‑видео