Application Delivery Management

机器人

注意

如果您的 Citrix ADM 版本早于 13.0-79.x,则可以通过导航至 Analytics > 安全 > 机器人洞察来查看机器人洞察。对于版本 13.0-79.x 或更高版本,您可以导航到 Analytics > 安全 > 安全违规 > 应用程序概述,然后单击应用程序细分依据下的机器人来查看机器人详细信息。

机器人是一种软件程序,它以比人类快得多的速度自动执行某些操作。超过 35% 的网络流量来自机器人攻击,80% 的组织遭受机器人攻击。他们可以与网页交互、提交表单、单击链接、扫描文本或下载内容。机器人可以在社交媒体平台上访问视频、发表评论和发推文。有些机器人甚至可以与人类用户进行基本对话。这些被称为聊天机器人。

执行需要或有用的服务(如客户服务、聊天机器人、搜索引擎爬虫程序)的机器人被称为良好的机器人。一些恶意机器人可以从网站上抓取或下载内容、窃取用户凭据、传播垃圾内容以及执行其他各种网络攻击。这些恶意机器人被称为坏机器人。识别恶意机器人并保护您的设备免受高级安全攻击至关重要。您可以使用机器人管理系统实现此目标。 有关 Bot 的更多信息,请参阅 机器人理。

在 Citrix ADC 中配置机器人检测技术

在 Citrix ADC 中,您可以配置机器人检测技术来检测传入的机器人流量。以下是您在 Citrix ADC 实例中配置的机器人技术:

  • 允许列表。此规则包含 URL 和策略表达式的列表,用于评估是否有一组特定的好机器人可以访问您的 Web 资源。

  • 阻止列表。此规则包含 URL 和策略表达式的列表,用于评估一组特定的坏机器人是否可以访问您的网站。

  • IP声誉。此规则检测传入的机器人流量是否为恶意 IP 地址。

  • 设备指纹识别。该规则检测传入的机器人流量在传入的请求标头中是否有设备指纹 ID 以及传入的客户端机器人流量的浏览器属性。

  • 速率限制。此规则速率限制来自同一客户端的多个请求。

  • 签名。该规则根据签名检测来检测和阻止机器人。它还可以防止未经授权的 URL 刮取网站、强制登录以及探测漏洞的机器人。

  • 机器人陷阱。此规则检测到访问网页上启用的脚本的机器人。

  • TPS。如果请求的最大数量和请求的增加百分比超过了配置的时间间隔,此规则将传入流量检测为机器人。

有关配置机器人管理的详细信息,请参阅 配置机器人管理

在 Citrix ADM 中使用机器人见解

在 Citrix ADC 中配置机器人管理后,必须在虚拟服务器上启用 机器人见解 功能,以查看 Citrix ADM 中的见解。

要启用 Bot Insight,请执行以下操作:

  1. 导航到网络 > 实例 > Citrix ADC 并选择实例类型。例如,VPX。

  2. 选择实例,然后从“选择操作”列表中选择“配置分析”。

  3. 选择虚拟服务器,然后单击“启用分析”。

  4. 启用分析 窗口中:

    1. 选择“Bot Insight

    2. 在“高级选项”下,选择 Logstream

      Bot-insight

    3. 单击确定

启用 Bot Insight 后,导航至“分析”>“Bot Insight”。

Bot-insight

1 -查看机器人详细信息的时间列表

2 -拖动滑块以选择特定的时间范围,然后单击“开始”以显示自定义结果

3 -受机器人影响的实例总数

4 — 所选实例的虚拟服务器总共有 bot 攻击

  • 机器人总数 -表示为虚拟服务器找到的机器人攻击总数(包括所有机器人类别)。

  • 人类浏览器总数 -表示访问虚拟服务器的人类用户总数。

  • 机器人员比率 — 指示访问虚拟服务器的人员用户与机器人之间的比率。

  • 签名机器人、 指纹机器人基于速率的机器人、 IP 信誉机器人、 允许列表机器人和 阻止列表机器 人-根据配置的机器人类别指示发生的机器人攻击总数。有关机器人类别的更多信息,请参阅 在 Citrix ADC 中配置机器人检测技术

5 -单击 > 以图形格式查看机器人详细信息。

Bot-graph

查看事件历史记录

在以下情况下,您可以在 事件历史记录中查看机器人签名更新:

  • 在 Citrix ADC 实例中添加了新的机器人签名。

  • 在 Citrix ADC 实例中更新现有的机器人特征码。

您可以在机器人洞察页面中选择持续时间以查看事件历史记录。

事件历史记录

下图显示了如何从 AWS 云中检索机器人签名、在 Citrix ADC 上更新以及在 Citrix ADM 上查看特征码更新摘要。

事件计划程序

  1. 机器人签名自动更新调度程序从 AWS URI 中检索映射文件。

  2. 使用 ADC 设备中的现有签名检查映射文件中的最新签名称。

  3. 从 AWS 下载新签名并验证签名的完整性。

  4. 使用机器人签名文件中的新签名更新现有的机器人签名。

  5. 生成 SNMP 警报并将特征码更新摘要发送到 Citrix ADM。

查看机器人

单击虚拟服务器可查看“应用程序摘要”。

Bot-application-summary

1 — 提供应用程序摘要详细信息,例如:

  • 平均 RPS -表示虚拟服务器上每秒收到的平均机器人事务请求 (RPS)。

  • 按严重性划分的机器人 — 表示基于严重性发生的机器人事务最高。严重性按严重进行分类。

    例如,如果虚拟服务器有 11770 个高严重性机器人和 1550 个严重严重性机器人,那么 Citrix ADM 会在“按严重性划分的机器人”下显示严重 1.55 K

  • 最大机器人类别 — 表示基于机器人类别发生的机器人攻击最高。

    例如,如果虚拟服务器有 8000 个阻止列出的机器人、5000 个允许列出的机器人和 10000 个超出速率限制的机器人,则 Citrix ADM 将在最大机器人类别下显示超过 10 K 的速率限制

  • 最大地理源 — 表示基于区域发生的机器人攻击最高。

    例如,如果虚拟服务器在圣克拉拉有 5000 次机器人攻击,伦敦有 7000 次机器人攻击,班加罗尔有 9000 次机器人攻击,那么 Citrix ADM 将在“最大地理来源”下显示班加罗尔 9 K

  • 机器人流量平均百分比 — 表示人类机器人比率。

2 -根据地图视图中的位置显示机器人攻击的严重程度

3 — 显示机器人攻击的类型(良好、坏和全部)

4 — 显示机器人攻击总数以及相应的配置操作。例如,如果您已配置:

  • IP 地址范围 (192.140.14.9 到 192.140.14.254) 作为阻止列表机器人,并选择删除作为这些 IP 地址范围的操作

  • IP 范围 (192.140.15.4 到 192.140.15.254) 作为阻止列表机器人,并选择创建日志消息作为这些 IP 范围的操作

    在这种情况下,Citrix ADM 显示:

    • 区块列出的机器人总数

    • 丢弃下的机器人总数

    • 日志下的机器人总数

查看 CAPTCHA 机器人

在网页中,CAPTCHA 旨在识别传入流量是来自人类还是自动机器人。要查看 Citrix ADM 中的验证码活动,必须将 CAPTCHA 配置为 Citrix ADC 实例中的 IP 信誉和设备指纹检测技术的自动程序操作。有关详细信息,请参阅 机器人管理

以下是 Citrix ADM 在机器人洞察中显示的 CAPTCHA 活动:

  • 已超过 CAPTCHA 尝试次数 — 表示登录失败后进行的最大 CAPTCHA 尝试次数

  • CAPTCHA 客户端已静音 — 表示由于之前在 CAPTCHA 挑战中检测到这些请求是恶意机器人而被丢弃或重定向的客户端请求的数量

  • 人类 — 表示人类用户输入的 CAPTCHA

  • CAPTCHA 响应无效 — 表示 Citrix ADC 发送 CAPTCHA 挑战时从机器人或人类收到的错误 CAPTCHA 响应的数量

    机器人 CAPTCHA

查看机器人陷阱机器人

要在 Citrix ADM 中查看机器人陷阱,必须在 Citrix ADC 实例中配置机器人陷阱。有关详细信息,请参阅 机器人管理

机器人陷阱

为了识别机器人陷阱,在网页中启用了一个脚本,这个脚本对人类隐藏,但不会对机器人隐藏。当机器人访问此脚本时,Citrix ADM 会识别并报告机器人陷阱。

单击虚拟服务器并选择“零像素请求

机器人陷阱

查看 TPS 机器人

以下是您可以在 Citrix ADM 中查看的 TPS 机器人类别:

  • 源 IP

  • 地理位置

  • 主机

  • URL

单击虚拟服务器以查看 TPS 机器人。

TPS 机器人

单击 TPS 机器人类别 以查看机器人详细信息。

TPS 机器人类别

此时将显示详细信息页面。

TPS 机器人详细信息

查看移动 (Android) 应用程序的机器人类别

要查看适用于移动 (Android) 应用程序的机器人,必须在 Citrix ADC 中配置指纹检测技术。有关详细信息,请参阅 为移动应用程序配置设备指纹技术

在 Citrix ADC 中配置设置后,您可以在 Citrix ADM 中查看以下机器人类别:

  • Web 客户端费率限制

  • Android 费率限制

  • Web 客户端设备

  • Android 设备

单击虚拟服务器以查看适用于移动应用程序的机器人类别。

Android 机器人

查看机器人详细信息

要进一步深入了解详细信息,请单击机器人类别下的机器人攻击类型。例如,如果要查看阻止列出的机器人攻击的详细信息,请单击机器人类别下的阻止列表

将显示攻击时间和机器人攻击总数等详细信息。

Bot-drill-down

您也可以拖动条形图来选择机器人攻击时要显示的特定时间范围。

Bot-time

要获取机器人攻击的其他信息,请单击以展开。

Bot-expand

  • 实例 IP — 表示 Citrix ADC 实例 IP 地址

  • 机器人总数 — 表示该特定时间内发生的机器人攻击总数

  • HTTP 请求 URL — 表示配置为阻止列出的 URL

  • 国家代码 — 指示发生机器人攻击的国家/地区

  • 区域 -表示机器人攻击发生的地区

  • 配置文件名称 -表示您在配置期间提供的配置文件名称

高级搜索

您还可以使用搜索文本框和持续时间列表,在其中可以根据需要查看机器人详细信息。当您单击搜索框时,搜索框会为您提供以下搜索建议列表。

  • 实例 IP — Citrix ADC 实例 IP 地址

  • 客户端 IP — 客户端 IP 地址

  • 机器人类型 — 机器人类型,例如“好”或“坏”

  • 严重性 — 机器人攻击的严重性

  • 采取的操作 — 在机器人攻击之后采取的操作,如“删除”、“无操作”、“重定向

  • 机器人类别 — 机器人攻击的类别,例如阻止列表、允许列表、指纹等。根据类别,您可以将机器人操作与其关联

  • 机器人检测 — 您在 Citrix ADC 实例上配置的机器人检测类型(阻止列表、允许列表等)

  • 地点 -机器人攻击发生的地区/国家

  • request-URL — 可能有机器人攻击的 URL

您也可以在搜索查询中使用运算符来缩小搜索焦点。例如,如果您想查看所有恶意机器人:

  1. 点击搜索框并选择 Bot-Type

  2. 再次单击搜索框并选择运算符 =

  3. 再次点击搜索框并选择“错误

  4. 单击“搜索”以显示结果

    Bot-search

机器人