Перейти к содержанию

Использование черного списка

Валарм может блокировать большую часть вредоносного трафика на основе каждого запроса, в котором определяется вектор атаки. Однако для поведенческих атак, в которых каждый запрос является легитимным (например, попытки авторизоваться с парами имя пользователя и пароль), необходимо блокировать источник.

Валарм может блокировать ботов и такие поведенческие атаки, как злоупотребление приложением, атаки перебора и forced browsing, автоматическим добавлением IP‑адресов в черный список. Администраторы также могут вручную добавлять IP‑адреса и подсети в список заблокированных.

Черный список

В секции Черный список Личного кабинета вы можете:

  • просмотреть список заблокированных адресов и причину блокировки;

  • разблокировать любой IP‑адрес или задать время автоматической разблокировки;

  • заблокировать IP‑адрес или подсеть.

Включите блокировки на WAF‑ноде

Для того, чтобы черные списки Валарм применились, их необходимо включить на WAF‑ноде.
Подробнее...

Работа с активными блокировками

По умолчанию в секции Черный список открывается вкладка Сейчас с IP‑адресами, которые заблокированы на текущий момент.

Для каждого IP‑адреса отображаются следующие данные:

  • IP / Источник — заблокированный IP‑адрес. Если в базе Валарм найдена дополнительнная информация об IP‑адресе, также отображаются следующие параметры:

    • Страна, в которой зарегистрирован IP‑адрес
    • Дата‑центры, которым принадлежит один или несколько IP‑адресов: AWS для Amazon, GCP для Google, Azure для Microsoft, DC для других дата‑центров
    • Тег Tor, если атака целиком или частично выполнена с узлов Tor
    • Тег VPN, если IP‑адрес принадлежит сети VPN
    • Тег Public proxy или Web proxy, если запрос отправлен с публичного прокси‑сервера или веб‑сервера

  • Причина — причина блокировки IP‑адреса. Указывается при блокировке адреса вручную или генерируется автоматически для IP‑адресов, заблокированных Валарм.

  • Приложение — приложение, на доступ к которому установлена блокировка.

  • Время блокировки— дата и время блокировки.

  • Разблокировать — временной период, после которого адрес разблокируется.

Фильтрация заблокированных IP‑адресов

Вы можете отфильтровать список заблокированных IP‑адресов по параметрам:

  • IP‑адрес, указанный в поле Поиск по IP

  • Приложение, на доступ к которому установлена блокировка

Изменение времени блокировки

Чтобы изменить время блокировки IP‑адреса:

  1. Выберите заблокированный IP‑адрес из списка.

  2. Нажмите Изменить время блокировки.

    Change blocking time

  3. Выберите новую дату разблокировки адреса.

Разблокировка IP‑адреса

Чтобы снять блокировку:

  1. Выберите заблокированный IP‑адрес из списка.

  2. Нажмите Разблокировать.

    Разблокировка IP‑адреса

Также вы можете выбрать несколько IP‑адресов и разблокировать их по кнопке Разблокировать одновременно.

Повторная блокировка разблокированного IP‑адреса

После ручной разблокировки IP‑адреса, который был добавлен в черный список автоматически, повторная автоматическая блокировка произойдет по истечении половины времени предыдущей блокировки.

Например:

  1. IP‑адрес был автоматически заблокирован на 1 час, так как с этого IP‑адреса было отправлено 4 разных вектора атаки за 3 часа (согласно триггеру по умолчанию).
  2. Пользователь разблокировал IP‑адрес через Консоль управления Валарм.
  3. Если после разблокировки с IP‑адреса будут отправлены еще 4 разных вектора атаки менее чем за 30 минут, IP‑адрес не добавится в черный список.

Работа с историей блокировок

Чтобы получить историю блокировок, в поле Выберите дату выберите период, за который необходимо получить данные. По умолчанию, история блокировок содержит события по всем IP‑адресам и приложениям.

Для фильтрации истории используйте параметры:

  • IP‑адрес, указанный в поле Поиск по IP

  • Приложение, на доступ к которому установлена блокировка

Добавление IP‑адреса в черный список

Для блокировки IP‑адреса:

  1. Нажмите кнопку Заблокировать.

  2. Введите значение в поле IP, диапазон или подсеть.

    Маска подсети

    Вы можете указать IP‑адрес с маской подсети. В списке заблокированных IP‑адресов отобразятся все адреса в подсети. Например: для адреса a.b.c.0/24 в список добавятся 256 записей.

  3. Выберите приложение, к которому необходимо заблокировать доступ.

  4. Выберите срок блокировки. Минимальный период блокировки — один час.

  5. Укажите причину блокировки.

  6. Нажмите Заблокировать.

Черный список

Экспорт адресов черного списка

Для экспорта списка заблокированных IP‑адресов или истории блокировок нажмите кнопку Экспортировать.

Данные экспортируются в формате .csv с полями:

  • IP — IP‑адрес.

  • Application — идентификатор приложения, на доступ к которому установлена блокировка.

  • Type — тип действия (block или unblock).

  • Time — дата и время разблокировки.

  • Country — страна, в которой зарегистрирован IP‑адрес.

  • Reason — причина блокировки IP‑адреса, указанная при блокировке адреса вручную или сгенерированная автоматически на стороне Валарм.