本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将应用程序集成SDKs与 ATP
本节介绍如何使用SDKs与的应用程序集成ATP。
ATP托管规则组需要应用程序集成SDKs生成的质询令牌。这些令牌支持规则组提供的全套保护。
我们强烈建议实施应用程序集成SDKs,以便最有效地使用ATP规则组。挑战脚本必须在ATP规则组之前运行,这样规则组才能从脚本获取的令牌中受益。应用程序集成会自动发生这种情况SDKs。如果您无法使用SDKs,则可以交替配置您的网站,ACL使其运行 Challenge 或者 CAPTCHA 对规则组将要检查的所有请求执行ATP规则操作。使用 Challenge 或者 CAPTCHA 规则操作可能会产生额外费用。有关定价的详细信息,请参阅 AWS WAF 定价
不需要令牌的ATP规则组的功能
当 Web 请求没有令牌时,ATP托管规则组能够阻止以下类型的流量:
-
发出大量登录请求的单个 IP 地址。
-
在短时间内发出大量失败登录请求的单个 IP 地址。
-
尝试使用密码遍历登录,使用相同的用户名但更改了密码。
需要令牌的ATP规则组的功能
质询令牌中提供的信息扩展了规则组的功能和您的客户端应用程序的整体安全性。
令牌为每个 Web 请求提供客户端信息,使ATP规则组能够将合法的客户端会话与行为不端的客户端会话区分开来,即使两者都来自单个 IP 地址。规则组使用令牌中的信息来汇总客户端会话请求行为,以进行微调的检测和缓解。
当令牌在 Web 请求中可用时,ATP规则组可以在会话级别检测和阻止以下其他类别的客户端:
-
未通过其SDKs管理的静默挑战的客户端会话。
-
遍历用户名或密码的客户端会话。这也称作凭证填充。
-
反复使用被盗凭证登录的客户端会话。
-
花费很长时间尝试登录的客户端会话。
-
发出大量登录请求的客户端会话。ATP规则组提供的客户端隔离效果比 AWS WAF 基于速率的规则,可以通过 IP 地址阻止客户端。ATP规则组还使用较低的阈值。
-
在短时间内发出大量失败登录请求的客户端会话。此功能适用于受保护的 Amazon CloudFront 分配。
有关这些功能的更多信息,请参阅 AWS WAF Fraud Control 账户盗用预防 (ATP) 规则组。
有关的信息SDKs,请参阅将客户端应用程序集成与 AWS WAF。有关信息 AWS WAF 令牌,请参阅在 Web 请求中使用令牌 AWS WAF。有关规则操作的信息,请参阅 使用 CAPTCHA 以及 Challenge in AWS WAF。
