Citrix Application Delivery Management

Bot

Hinweis

Wenn Ihr Citrix ADM-Build früher als 13.0-79.x ist, können Sie Bot Insight anzeigen, indem Sie zu Analytics > Sicherheit > Bot Insight navigieren. Für Build 13.0-79.x oder höher können Sie Botdetails anzeigen, indem Sie zu Analytics > Sicherheit > Sicherheitsverletzungen > Anwendungsübersicht navigieren und unter Aufschlüsselung der Anwendungen nach auf Bot klicken.

Ein Bot ist ein Software-Programm, das automatisch bestimmte Aktionen immer und immer mit einer viel schnelleren Geschwindigkeit ausführt als ein Mensch. Über 35 Prozent Ihres Web-Traffic umfassen Bots und 80 Prozent der Organisationen leiden unter Bot-Attacken. Sie können mit einer Webseite interagieren, Formulare senden, Links klicken, Text scannen oder Inhalte herunterladen. Bots können auf Social-Media-Plattformen auf Videos zugreifen, Kommentare posten und twittern. Einige Bots können sogar grundlegende Gespräche mit menschlichen Benutzern führen. Diese werden als Chatbots bezeichnet.

Ein Bot, der einen brauchbaren oder hilfreichen Service wie Kundenservice, Chatbots, Suchmaschinen-Crawler durchführt, werden als gute Bots bekannt. Einige bösartige Bots können Inhalte von einer Website kratzen oder herunterladen, Benutzeranmeldeinformationen stehlen, Spam-Inhalte verbreiten und verschiedene andere Arten von Cyberangriffen ausführen. Diese bösartigen Bots werden als schlechte Bots bekannt. Es ist wichtig, schlechte Bots zu identifizieren und Ihre Appliance vor erweiterten Sicherheitsangriffen zu schützen. Sie können dies mit einem Bot-Management-System erreichen. Weitere Informationen zu Bot finden Sie unter Bot-Verwaltung.

Konfigurieren von Bot-Erkennungstechniken in Citrix ADC

In Citrix ADC können Sie Bot-Erkennungstechniken konfigurieren, um den eingehenden Bot-Datenverkehr zu erkennen. Im Folgenden finden Sie die Bot-Techniken, die Sie in der Citrix ADC-Instanz konfigurieren:

  • Positivliste. Diese Regel enthält eine Liste von URLs und Richtlinienausdrücken, um zu bewerten, ob eine bestimmte Gruppe von guten Bots, die auf Ihre Webressource zugreifen können.

  • Sperrliste. Diese Regel enthält eine Liste von URLs und Richtlinienausdrücken, um zu prüfen, ob ein bestimmter Satz von fehlerhaften Bots auf Ihre Website zugreifen kann.

  • Ruf von geistigem Eigentum. Diese Regel erkennt, ob der eingehende Bot-Datenverkehr eine schädliche IP-Adresse ist.

  • Geräte-Fingerabdruck. Diese Regel erkennt, ob der eingehende Bot-Datenverkehr Geräte-Fingerabdruck-ID im Header der eingehenden Anforderung und in den Browserattributen eines eingehenden Client-Bot-Datenverkehrs hat.

  • Ratenbegrenzung. Diese Regelrate begrenzt mehrere Anfragen desselben Kunden.

  • Unterschriften. Diese Regel erkennt und blockiert Bots basierend auf Signaturerkennung. Es verhindert auch nicht autorisierte URLs, die Websites kratzen, brutale Anmeldungen erzwingen und Bots, die auf Schwachstellen untersuchen.

  • Bot-Traps. Diese Regel erkennt Bots, die auf das Skript zugreifen, das auf der Webseite aktiviert ist.

  • TPS. Diese Regel erkennt den eingehenden Datenverkehr als Bots, wenn die maximalen Anforderungen und der prozentuale Anstieg der Anforderungen das konfigurierte Zeitintervall überschreiten.

Weitere Informationen zum Konfigurieren der Bot-Verwaltung finden Sie unter Konfigurieren der Bot-Verwaltung.

Verwenden von Bot Insight in Citrix ADM

Nachdem Sie die Bot-Verwaltung in Citrix ADC konfiguriert haben, müssen Sie Bot Insight auf virtuellen Servern aktivieren, um Einblicke in Citrix ADM anzuzeigen.

So aktivieren Sie Bot Insight:

  1. Navigieren Sie zu Netzwerke > Instanzen > Citrix ADC, und wählen Sie den Instanztyp aus. Zum Beispiel VPX.

  2. Wählen Sie die Instanz aus, und wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurieren aus.

  3. Wählen Sie den virtuellen Server aus, und klicken Sie auf Analytics aktivieren.

  4. Im Fenster Analytics aktivieren:

    1. Bot Insightauswählen

    2. Wählen Sie unter Erweiterte Option die OptionLogstreamaus.

      Bot-insight

    3. Klicken Sie auf OK.

Navigieren Sie nach der Aktivierung von Bot Insightzu Analytics> Bot Insight.

Bot-insight

1 - Zeitliste für die Anzeige von Bot-Details

2 — Ziehen Sie den Schieberegler, um einen bestimmten Zeitraum auszuwählen, und klicken Sie auf Los, um die angepassten Ergebnisse anzuzeigen.

3 — Gesamtanzahl von Instanzen, die von Bots betroffen sind

4 — Virtueller Server für die ausgewählte Instanz mit insgesamt Bot-Attacken

  • Total Bots — Zeigt die Gesamtanzahl der Bot-Angriffe (einschließlich aller Bot-Kategorien) an, die für den virtuellen Server gefunden wurden.

  • Total Human Browsers — Gibt die Gesamtzahl menschlicher Benutzer an, die auf den virtuellen Server zugreifen.

  • Bot Human Ratio — Gibt das Verhältnis zwischen menschlichen Benutzern und Bots an, die auf den virtuellen Server zugreifen.

  • Signatur-Bots, Fingerabdruck-Bot, Ratenbasierte Bots, IP-Reputation-Bots, Positivlistenbotsund Sperrlistenbots — Gibt die gesamten Bot-Angriffe basierend auf der konfigurierten Bot-Kategorie an. Weitere Informationen zur Bot-Kategorie finden Sie unter Konfigurieren von Bot-Erkennungstechniken in Citrix ADC.

5 - Klicken Sie auf >, um Bot-Details in einem Diagrammformat anzuzeigen.

Bot-graph

Ereignisverlauf anzeigen

Sie können die Bot-Signaturaktualisierungen im Ereignisverlaufanzeigen, wenn:

  • Neue Bot-Signaturen werden in Citrix ADC-Instanzen hinzugefügt.

  • Vorhandene Bot-Signaturen werden in Citrix ADC-Instanzen aktualisiert.

Sie können die Zeitdauer auf der Bot-Einblick-Seite auswählen, um den Ereignisverlauf anzuzeigen.

Geschichte der Ereignisse

Das folgende Diagramm zeigt, wie die Bot-Signaturen aus der AWS-Cloud abgerufen, auf Citrix ADC aktualisiert werden und wie die Signaturaktualisierungszusammenfassung in Citrix ADM angezeigt wird.

Terminplaner

  1. Der Planer für automatische Aktualisierung der Bot-Signatur ruft die Zuordnungsdatei vom AWS-URI ab.

  2. Prüft die neuesten Signaturen in der Zuordnungsdatei mit den vorhandenen Signaturen in der ADC-Appliance.

  3. Lädt die neuen Signaturen von AWS herunter und überprüft die Signaturintegrität.

  4. Aktualisiert die vorhandenen Bot-Signaturen mit den neuen Signaturen in der Bot-Signaturdatei.

  5. Generiert eine SNMP-Warnung und sendet die Signaturaktualisierungszusammenfassung an Citrix ADM.

Bots anzeigen

Klicken Sie auf den virtuellen Server, um die Anwendungsübersichtanzuzeigen.

Bot-application-summary

1 — Stellt Details zur Anwendungsübersicht bereit, z. B.:

  • Durchschnittlicher RPS — Gibt die durchschnittlichen Bot-Transaktionsanforderungen pro Sekunde (RPS) an, die auf virtuellen Servern empfangen wurden.

  • Bots nach Schweregrad — Gibt die höchsten Bot-Transaktionen basierend auf dem Schweregrad an. Der Schweregrad wird basierend auf Kritisch, Hoch, Mittelund Niedrigkategorisiert.

    Wenn die virtuellen Server beispielsweise über 11770 Bots mit hohem Schweregrad und 1550 Bots mit kritischem Schweregrad verfügen, zeigt Citrix ADM Kritisch 1,55 K unter Bots nach Schweregrad an.

  • Größter Bot-Kategorie — Gibt die höchsten Bot-Angriffe basierend auf der Bot-Kategorie an.

    Wenn die virtuellen Server beispielsweise über 8000 blockgelistete Bots, 5000 gelistete Bots zulassen und 10000 Rate Limit Exceeded Bots verfügen, zeigt Citrix ADM unter Largest Bot Category die Option Rate Limit Exceeded 10 K an.

  • Größte Geoquelle — Gibt die höchsten Bot-Angriffe basierend auf einer Region an.

    Wenn die virtuellen Server beispielsweise 5000 Bot-Angriffe in Santa Clara, 7000 Bot-Angriffe in London und 9000 Bot-Angriffe in Bangalore haben, zeigt Citrix ADM Bangalore 9 K unter der größten Geoquelle an.

  • Durchschnitt% Bot Traffic — Gibt die menschliche Bot-Ratio an.

2 — Zeigt den Schweregrad der Bot-Angriffe basierend auf Positionen in der Kartenansicht an

3 — Zeigt die Arten von Bot-Angriffen an (Gut, Schlecht und Alle)

4 — Zeigt die Gesamtanzahl der Bot-Angriffe zusammen mit den entsprechenden konfigurierten Aktionen an. Wenn Sie beispielsweise Folgendes konfiguriert haben:

  • IP-Adressbereich (192.140.14.9 bis 192.140.14.254) als Sperrlistenbots und ausgewählte Drop als Aktion für diese IP-Adressbereiche

  • IP-Bereich (192.140.15.4 bis 192.140.15.254) als Sperrlistenbots und ausgewählt, um Log-Message als Aktion für diese IP-Bereiche zu erstellen

    In diesem Szenario zeigt Citrix ADM Folgendes an:

    • Sperrlistenbots insgesamt

    • Anzahl Bots unter Dropped

    • Anzahl Bots unter Log

CAPTCHA Bots anzeigen

Auf Webseiten sollen CAPTCHAs erkennen, ob der eingehende Traffic von einem Menschen oder einem automatisierten Bot stammt. Um die CAPTCHA-Aktivitäten in Citrix ADM anzuzeigen, müssen Sie CAPTCHA als Bot-Aktion für IP-Reputation und Gerätefingerabdruckerkennungstechniken in einer Citrix ADC Instanz konfigurieren. Weitere Informationen finden Sie unter Bot-Verwaltung.

Im Folgenden werden die CAPTCHA Aktivitäten aufgeführt, die Citrix ADM in Bot Insight anzeigen:

  • Captcha-Versuche überschritten — Gibt die maximale Anzahl von CAPTCHA Versuche an, die nach Login-Fehlern durchgeführt wurden

  • Captcha-Client stummgeschaltet — Gibt an, wie viele Clientanforderungen gelöscht oder umgeleitet werden, da diese Anforderungen früher mit der CAPTCHA Challenge als fehlerhafte Bots erkannt wurden

  • Mensch — Bezeichnet die Captcha-Einträge, die von den menschlichen Benutzern ausgeführt werden

  • Ungültige Captcha-Antwort — Gibt die Anzahl der falschen CAPTCHA-Antworten an, die vom Bot oder Menschen erhalten wurden, wenn Citrix ADC eine CAPTCHA-Herausforderung sendet

    Bot Captcha

Bot-Trap-Bots anzeigen

Um Bot-Traps in Citrix ADM anzuzeigen, müssen Sie den Bot-Trap in der Citrix ADC-Instanz konfigurieren. Weitere Informationen finden Sie unter Bot-Verwaltung.

Bot-Trap

Um die Bot-Traps zu identifizieren, wird ein Skript auf der Webseite aktiviert und dieses Skript ist vor Menschen, aber nicht für Bots verborgen. Citrix ADM identifiziert und meldet die Bot-Traps, wenn Bots auf dieses Skript zugreifen.

Klicken Sie auf den virtuellen Server und wählen Sie Zero Pixel Request

Bot-Trap

Anzeigen von TPS-Bots

Im Folgenden sind die TPS-Bot-Kategorien aufgeführt, die Sie in Citrix ADM anzeigen können:

  • Quell-IP

  • Geolocation

  • Host

  • URL

Klicken Sie auf den virtuellen Server, um die TPS-Bots anzuzeigen.

TPS-Bots

Klicken Sie auf die TPS-Bot-Kategorie, um die Bot-Details anzuzeigen.

TPS-Bot-Kategorie

Die Detailseite wird angezeigt.

Details zum TPS-Bot

Anzeigen von Bot-Kategorien für mobile (Android) -Anwendungen

Um die Bots für mobile (Android) Anwendungen anzuzeigen, müssen Sie die Technik zur Erkennung von Fingerabdrücken in Citrix ADC konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Fingerabdrucktechnik für Geräte für mobile Anwendungen.

Nachdem Sie die Einstellungen in Citrix ADC konfiguriert haben, können Sie die folgenden Bot-Kategorien in Citrix ADM anzeigen:

  • Preislimit für Web-Clients

  • Android Rate Limit

  • Webclient-Gerät

  • Android-Gerät

Klicken Sie auf den virtuellen Server, um die für mobile Anwendungen geltenden Bot-Kategorien anzuzeigen.

Android-Bots

Bot-Details anzeigen

Um weitere Details zu erhalten, klicken Sie unter Bot-Kategorie auf den Bot-Angriffstyp. Wenn Sie beispielsweise Details für blockgelistete Bot-Angriffe anzeigen möchten, klicken Sie unter Bot-Kategorie auf Liste blockieren.

Die Details wie Angriffszeit und die Gesamtzahl der Bot-Angriffe werden angezeigt.

Bot-drill-down

Sie können auch das Balkendiagramm ziehen, um den bestimmten Zeitraum auszuwählen, der bei Bot-Attacken angezeigt werden soll.

Bot-time

Um zusätzliche Informationen über den Bot-Angriff zu erhalten, klicken Sie zum Erweitern.

Bot-expand

  • Instanz-IP — Gibt die IP-Adresse der Citrix ADC Instanz an

  • Total Bots — Zeigt die Gesamtanzahl der Bot-Angriffe an, die für diese bestimmte Zeit aufgetreten sind.

  • HTTP-Request-URL — Gibt die URL an, die für die Blockierung konfiguriert ist

  • Ländercode — Gibt das Land an, in dem der Bot-Angriff stattgefunden hat

  • Region — Gibt die Region an, in der der Bot-Angriff stattgefunden hat.

  • Profilname — Gibt den Profilnamen an, den Sie während der Konfiguration angegeben haben

Erweiterte Suche

Sie können auch das Suchtextfeld und die Liste der Zeitdauer verwenden, in der Sie Bot-Details nach Ihren Anforderungen anzeigen können. Wenn Sie auf das Suchfeld klicken, erhalten Sie im Suchfeld die folgende Liste mit Suchvorschlägen.

  • Instanz-IP — IP-Adresse der Citrix ADC-Instanz

  • Client-IP — Client-IP-Adresse

  • Bot-Type — Bot-Typ wie Gut oder Schlecht

  • Schweregrad — Schweregrad des Bot-Angriffs

  • Aktionsgetätigt — Nach dem Bot-Angriff durchgeführte Aktion wie Drop, Keine Aktion, Umleiten

  • Bot-Category — Kategorie des Bot-Angriffs wie Blockliste, Zulassungsliste, Fingerabdruck usw. Basierend auf einer Kategorie können Sie ihr eine Bot-Aktion zuordnen

  • Bot-Erkennung — Bot-Erkennungstypen (Blockierungsliste, Zulassungsliste usw.), die Sie auf der Citrix ADC-Instanz konfiguriert haben

  • Ort — Region/Land, in dem der Bot-Angriff stattgefunden hat

  • request-url — URL, die die möglichen Bot-Angriffe hat

Sie können auch Operatoren in Ihren Suchanfragen verwenden, um den Fokus Ihrer Suche einzuschränken. Zum Beispiel, wenn Sie alle schlechten Bots anzeigen möchten:

  1. Klicken Sie auf das Suchfeld und wählen Sie Bot-Type

  2. Klicken Sie erneut auf das Suchfeld und wählen Sie den Operator =

  3. Klicken Sie erneut auf das Suchfeld und wählen Sie Schlecht

  4. Klicken Sie auf Suchen, um die Ergebnisse anzuzeigen.

    Bot-search

Bot