Антибот

Как настроить антибот-защиту: JA3-блокировки и HTTP-правила

После активации услуги она появится на главной странице вашей учетной записи и в разделе Мои услуги. Чтобы приступить к настройке, кликните по названию услуги.

На открывшейся странице найдите нужный объект и выберите его, нажав на строку с миниатюрным графиком.

Наличия значка «замок» в строке таблицы указывает на то, что для домена запрещено изменение параметров защиты.

В левом меню выберите пункт Антибот.

На открывшейся странице приведены настраиваемые параметры.

JA3 блокировки и разрешения

JA3 — это метод генерации цифровых отпечатков SSL/TLS-соединений путём хеширования параметров клиентского приветственного сообщения (Client Hello).

После установления TCP-соединения (то есть сразу после обмена ACK-пакетами), клиент может начать шифрованную сессию с сервером, отправляя так называемый пакет «Client Hello». В нём указываются параметры TLS — версия протокола, случайный ключ и другие данные.

Метод JA3 работает на основе того, что набор этих параметров (например, список поддерживаемых шифров, расширений и версия TLS) почти всегда одинаков для одного и того же приложения. Это значит, что, скажем, браузер и вредоносная программа будут отправлять разные пакеты «Client Hello», но одинаковые — при повторных запусках.

Благодаря этому, можно «узнавать» клиентские приложения по их TLS-отпечатку и управлять соединениями — разрешать или блокировать определённые типы трафика.

Для настройки JA3 блокировок и разрешений нажмите на кнопку Добавить JA3 блокировку или на кнопку Полноэкранный режим.

Заполните открывшуюся форму для настройки JA3 блокировок, при необходимости загрузив данные в формате файла «.txt». Нажмите на кнопку Добавить.

В поле Режим защиты JA3 выберите нужный способ реагирования при совпадении с отпечатком JA3.
Выбранный режим будет применяться ко всем JA3-хешам, указанным в таблице на вкладке Блокировка. Изменения в этом разделе не влияют на настройки во вкладке Разрешения.

Также важно учитывать, что настройка режима защиты здесь относится только к трафику, соответствующему указанным JA3-хешам, и не влияет на обработку остального трафика.

Для настройки разрешений JA3 перейдите на вкладку Разрешения JA3.

Заполните её и нажмите на кнопку Добавить.

После добавления блокировок и разрешений они будут отображены в таблице.

Цепочки правил HTTP

Вы можете составлять цепочки обработки HTTP-запросов и проверять их соответствие нескольким параметрам одновременно с последующим указанием действий над запросами. Можно проверять наличие или отсутствие определенных заголовков, файлов cookie и многое другое. С помощью создания цепочек правил можно получить множество комбинаций разграничения доступа — по адресам, состояниям пакетов и другим признакам.

Нажмите на кнопку Добавить цепочку правил в области Цепочки правил HTTP. 

Заполните поле и нажмите на кнопку Добавить. После этого цепочка появится в списке. Нажмите на её название, чтобы добавлять правила.

Нажмите на кнопку + Добавить правило. В открывшейся форме создайте правило.

Задайте действия, которые будут выполнены при соответствии и при несоответствии правилу.

Нажмите на кнопку = в области Заголовки, если нужно поставить знак неравенства: !=.

При выборе BLOCK в пункте Действие откроется поле для ввода кода HTTP-ответа, который будет возвращен в случае срабатывания правила (например, 403).

Примеры правил:

После создания правила будут отображены в таблице и доступны к редактированию.

Мы рекомендуем регулярно пересматривать список JA3 и цепочек HTTP, особенно при изменении поведения пользователей или появлении новых угроз.