Дмитрий Криков. No pasaran? Боты: непрекращающаяся борьба на невидимом фронте
Введение
• Дмитрий Криков, технический директор компании Ingenix, рассказывает о ботах в интернете.
• Компания предоставляет услуги по защите и ускорению ресурсов, пропуская через себя терабиты трафика.
• Дмитрий делится опытом и гипотезами для защиты ресурсов.
Экономика ботов
• Боты часто встречаются в электронной коммерции из-за конкуренции.
• Боты могут быть полезны для бизнеса, но чаще всего они представляют угрозу.
• Примеры клиентов, пострадавших от ботов: увеличение затрат на инфраструктуру, проблемы с регистрацией и трафиком.
Борьба с ботами
• Компания создала исследовательский центр для изучения ботов.
• Борьба с ботами бесконечна и требует постоянного обновления контрмер.
• Боты прикидываются людьми, что затрудняет их обнаружение.
Отличие ботов от DOS-атак
• Боты не нарушают техническую доступность ресурсов, а используют их для своих целей.
• Боты наносят прямой ущерб бизнесу, в отличие от DOS-атак.
Антибот и антифрод
• Антибот отличается от антифрода: боты могут быть обнаружены с первого запроса.
• Важно идентифицировать посетителей, чтобы бороться с ними.
Классификация ботов
• Боты классифицируются по намерению: хорошие и плохие.
• Плохие боты могут воровать данные, создавать нагрузку и опустошать запасы.
• Обнаружение ботов зависит от их сложности и мотивации.
Методы борьбы с ботами
• Базовые методы фильтрации и рейл-лимитинга неэффективны.
• Боты мимикрируют под людей, что усложняет их обнаружение.
• Необходимы сильные команды и поддержка бизнеса для борьбы с ботами.
Классификация пользователей
• Важно точно классифицировать пользователей, чтобы принимать решения.
• Дополнительные проверки могут быть болезненными для пользователей и ресурсов.
• Идеальный вариант — определять ботов с первого запроса.
Методы анализа трафика
• Анализ подозрительных списков и протоколов.
• Сравнение данных с разных устройств и браузеров.
• Формирование баз данных для анализа и принятия решений.
Примеры аномалий в запросах
• Запросы из сети VPN имеют нестандартную синусоиду.
• Львиная доля запросов создается отдельными пользователями.
• Запросы приходят по расписанию, что указывает на автоматизированную активность.
Идентификация пользователей
• По первому запросу сложно определить пользователя.
• Идентификация пользователя важна для отслеживания его действий.
• Подписанная куки является хорошим идентификатором, но может быть подделана.
Дополнительные проверки
• Можно получить много информации из браузера, но это сложно и может быть подделано.
• Легитимные пользователи всегда присылают правильный идентификатор.
• После идентификации можно проводить дополнительные проверки.
Поведенческий анализ
• Поведенческий анализ требует сначала допустить аномалии, а затем ловить их последствия.
• Можно анализировать последовательность запросов и контролировать переходы пользователей.
• Нестандартные тайминги и поведение пользователей могут указывать на аномалии.
Решения по борьбе с ботами
• Варианты действий: блокировка, ресурсоемкие задания, прикидывание, что не обнаружили бота.
• Важно не перекрывать вход в торговый центр для безопасности посетителей.
• Взаимодействие с бизнесом помогает обеспечить безопасность и эффективность ресурса.
Подробнее смотри в видео https://youtu.be/US2aUmH42i0?si=CLDPku0VbS8VVaE7