Использование черного списка¶

Валарм может блокировать большую часть вредоносного трафика на основе каждого запроса, в котором определяется вектор атаки. Однако для поведенческих атак, в которых каждый запрос является легитимным (например, попытки авторизоваться с парами имя пользователя и пароль), необходимо блокировать источник.

Валарм может блокировать ботов и такие поведенческие атаки, как злоупотребление приложением, атаки перебора и forced browsing, автоматическим добавлением IP‑адресов в черный список. Администраторы также могут вручную добавлять IP‑адреса и подсети в список заблокированных.

В секции Черный список Личного кабинета вы можете:

• просмотреть список заблокированных адресов и причину блокировки;

• разблокировать любой IP‑адрес или задать время автоматической разблокировки;

• заблокировать IP‑адрес или подсеть.

Работа с активными блокировками¶

По умолчанию в секции Черный список открывается вкладка Сейчас с IP‑адресами, которые заблокированы на текущий момент.

Для каждого IP‑адреса отображаются следующие данные:

• IP / Источник — заблокированный IP‑адрес и хостинг-провайдер, если обнаружен (AWS, GCP, Azure, Tor). Также, в столбце может отображаться страна, в которой зарегистрирован IP‑адрес.

• Причина — причина блокировки IP‑адреса. Указывается при блокировке адреса вручную или генерируется автоматически для IP‑адресов, заблокированных Валарм.

• Приложение — приложение, на доступ к которому установлена блокировка.

• Время блокировки— дата и время блокировки.

• Разблокировать — временной период, после которого адрес разблокируется.

Фильтрация заблокированных IP‑адресов¶

Вы можете отфильтровать список заблокированных IP‑адресов по параметрам:

• IP‑адрес, указанный в поле Поиск по IP

• Приложение, на доступ к которому установлена блокировка

Изменение времени блокировки¶

Чтобы изменить время блокировки IP‑адреса:

1. Выберите заблокированный IP‑адрес из списка.

2. Нажмите Изменить время блокировки.

   

3. Выберите новую дату разблокировки адреса.

Разблокировка IP‑адреса¶

Чтобы снять блокировку:

1. Выберите заблокированный IP‑адрес из списка.

2. Нажмите Разблокировать.

   

Также вы можете выбрать несколько IP‑адресов и разблокировать их по кнопке Разблокировать одновременно.

Работа с историей блокировок¶

Чтобы получить историю блокировок, в поле Выберите дату выберите период, за который необходимо получить данные. По умолчанию, история блокировок содержит события по всем IP‑адресам и приложениям.

Для фильтрации истории используйте параметры:

• IP‑адрес, указанный в поле Поиск по IP

• Приложение, на доступ к которому установлена блокировка

Добавление IP‑адреса в черный список¶

Для блокировки IP‑адреса:

1. Нажмите кнопку Заблокировать.

2. Введите значение в поле IP, диапазон или подсеть.

   Маска подсети

   Вы можете указать IP‑адрес с маской подсети. В списке заблокированных IP‑адресов отобразятся все адреса в подсети. Например: для адреса a.b.c.0/24 в список добавятся 256 записей.

3. Выберите приложение, к которому необходимо заблокировать доступ.

4. Выберите срок блокировки. Минимальный период блокировки — один час.

5. Укажите причину блокировки.

6. Нажмите Заблокировать.

Экспорт адресов черного списка¶

Для экспорта списка заблокированных IP‑адресов или истории блокировок нажмите кнопку Экспортировать.

Данные экспортируются в формате .csv с полями:

• IP — IP‑адрес.

• Application — идентификатор приложения, на доступ к которому установлена блокировка.

• Type — тип действия (block или unblock).

• Time — дата и время разблокировки.

• Country — страна, в которой зарегистрирован IP‑адрес.

• Reason — причина блокировки IP‑адреса, указанная при блокировке адреса вручную или сгенерированная автоматически на стороне Валарм.