代理攻击,简单来说,是使用浏览器或者Web客户端,使用隧道技术,通过其他的公网IP发动的攻击。常见的代理攻击形式就是网站爬虫,脚本通过使用不同代理IP来躲过反爬虫的策略,从而实现爬取网站数据的目的。
代理攻击控制,顾名思义,是通过一定的算法对每个用户的访问都打上标签,通过对标签的汇总判断是否存在代理攻击,对触发了策略的客户端进行拦截。
必须使用SSL证书,如果没有SSL证书,算法会不够精确。
建议开启后,使用观察模式,通过查看全量日志来看有哪些访客确实是代理攻击,哪些是可疑的,是否有成功拦截,拦截的比率是否足够高。
上图中,1处表示,要上传SSL证书,当上传成功后,点击2处设置内置行为模式。
上图中,1处表示开启防护,可以选择2、3处的行为,2处表示观察模式,对触发规则的请求不执行拦截、只记录。3处表示对触发规则的请求进行拦截。4处表示拦截规则的严格程度,如果认为拦截规则过于严格,可以选择宽松或者超级宽松模式。
在用户端全量日志中搜索,1处表示观察模式下触发了规则,表明这个客户端IP使用了多个代理IP访问网站。2号表示在拦截模式下请求被成功拦截。
通过算法计算,这些不同的客户端IP具有相同的访问特征。