Настройка защиты от брутфорса¶
К разновидностям брутфорс атак относятся:
-
Перебор паролей
-
Перебор идентификаторов сессии
-
Принудительный просмотр ресурсов веб‑приложения (дирбаст, forced browsing)
-
Подстановка учетных данных
Такие атаки характеризуются большим количеством запросов, отправленных на типовой URL за определенный временной промежуток. При этом в запросах передаются разные значения параметров, по которым осуществляется перебор.
Подробное описание брутфорса →
Ограничение на тип ресурсов, защищаемых от брутфорса
Валарм WAF анализирует на брутфорс атаки только HTTP‑трафик.
В этой инструкции приведены шаги для настройки защиты ресурсов от брутфорса.
Шаги для настройки защиты от брутфорса¶
-
Включите модуль Защита от брутфорса в план подписки на Валарм WAF. Для этого отправьте запрос на sales@wallarm.ru.
-
Если WAF‑нода установлена за балансировщиком нагрузки или прокси‑сервером, настройте проброс реального IP‑адреса клиента.
-
Настройте триггер Отметить как брутфорс/дирбаст.
-
Протестируйте настройки для защиты от брутфорса.
Настройка триггера для определения брутфорса¶
-
Перейдите в Консоль управления Валарм → секция Триггеры и откройте окно создания триггера.
-
Выберите условие Количество запросов и задайте порог количества запросов или используйте значение по умолчанию.
- Если указанный порог будет превышен, запросы будут отмечены как брутфорс атака.
- Если указанный порог будет превышен и в ответ на все запросы вернется код 404, запросы будут отмечены как дирбаст атака.
-
Задайте URL, по которому необходимо фильтровать все запросы из трафика для срабатывания триггера. Например:
- Для настройки защиты от перебора паролей задайте URL для аутентификации пользователей на ресурсе
- Для настройки защиты от дирбаста задайте URL директории с файлами ресурса
URL можно задать одним из способов:
- В правиле на определение счетчика атак для любого порта, который принимает входящие запросы. Созданный счетчик необходимо выбрать в фильтре Название счетчика.
- С помощью фильтра URL, если защищемый ресурс принимает входящие запросы на любом порту, кроме 80 и 443. В значении фильтра необходимо указать полный URL в формате:
host:port/path
(например:example.com:8888/api/frontend/login
).
-
Если требуется, задайте другие фильтры для запросов:
- Приложение, на которое отправлены запросы.
- Один или несколько IP, с которых отправлены запросы.
-
Выберите реакции триггера:
- Отметить как брутфорс/дирбаст, чтобы отметить запросы, отправленные после срабатывания настроенного порога запросов, как брутфорс или дирбаст атаку. При этом запросы не будут заблокированы. Для блокировки запросов необходимо также настроить реакцию Добавить IP в черный список.
- Добавить IP в черный список и время блокировки IP, чтобы заблокировать IP‑адрес или IP‑адреса, с которых были отправлены вредоносные запросы. Все запросы, отправленные после срабатывания настроенного порога запросов, будут блокироваться WAF‑нодой.
Пример настроенного правила на определение счетчика атак и триггера:
Описание приведенного примера и других примеров триггеров для защиты от брутфорса доступно по ссылке.
Для защиты от брутфорса вы можете настроить несколько триггеров с разными условиями и фильтрами.
Тестирование настройки для защиты от брутфорса¶
-
Отправьте на защищенный URL количество запросов, которое превышает настроенный порог. Например, 50 запросов на
example.com/api/frontend/login
:for (( i=0 ; $i<51 ; i++ )) ; do curl https://example.com/api/frontend/login ; done
-
Перейдите в Консоль управления Валарм → секция Черный список и убедитесь, что IP‑адрес, с которого были отправлены запросы, заблокирован на время, указанное в триггере.
-
Откройте секцию События и убедитесь, что запросы отображаются в списке как брутфорс или дирбаст атака. Например:
Количество запросов в интерфейсе соответствует количеству запросов, которые были отправлены после срабатывания триггера (подробнее об обнаружении поведенческих атак). Если количество больше 5, к запросам применяется алгоритм сэмплирования и в интерфейсе отображается подробная информация о 5 первых запросах (подробнее о применении алгоритма сэмплирования).
Про поиске вы можете использовать фильтры, например:
dirbust
для дирбаст атак илиbrute
для брутфорс атак. Описание всех фильтров доступно в инструкции по использованию поиска.