3.3.1. 场景介绍

对于公司业务细分到不同的场景, 再到定制策略, 以及TH-Nebula脚本可能会有些模糊, 对于一开始认识TH-Nebula系统可能会对此概念模糊不清, 所以接下来对于不同的场景分别制定策略, 来深入了解策略的定制, 以及TH-Nebula脚本的定制.

IP撞库登陆

假设同一个IP, 不断的用不同的账号或者密码一直访问登陆页面, 那么设定次数之后就可以捕获到这个IP, 之后对此IP进行弹验证码, 封IP等处理.

首先对公司的登陆接口在新建策略的时候, 以 [事件-动态资源请求] 选定属性 [page] , 也就是URL中包含了login 字段的, 即认定为登陆接口, 此处要根据公司的登陆接口做相应的改变, 每家公司业务的登陆接口不尽相同. 在 ①处填公司的登陆接口

接下来选择点击图片中②所全选的＋号, 选择 [条件判断-条件统计-动态资源请求]

然后编辑参数, 选择同一个IP的访问次数, 这样才可以达到计算的效果

以上是实时计算5分钟内统计同一IP访问登陆接口则对次IP进行判定为审核或者是黑名单, 通过TH-Nebula查询接口可以查询到黑名单, 审核名单, 可以对其做进一步处理.

假设一个IP大量的请求却不加载静态资源, 那么可以认定此IP是通过机器程序登陆的操作的, 只对接口访问, 这种IP存在一定的风险.

选择新建策略, 选择 [事件-动态资源请求] 选定属性c_ip, 包含 [ . ] , 这样表达的意思是所有的IP都会被捕获到, 接下来通过条件筛选出同一个IP大量请求却不加载静态资源的IP.

选择 [条件判断-条件统计-IP请求量5M] 然后编辑参数设定为 [c_ip] 大于50, 表示在5分钟内某个相同的IP访问50次网站接下来选择 [条件判断-条件统计-静态资源请求量] 编辑参数设定 [c_ip] 等于 [0]

这样设定就可以判断出同一个IP在5分钟内大量请求接口却不加载静态资源, 进行判定为审核或者是黑名单, 通过TH-Nebula查询接口可以查询到黑名单, 审核名单, 可以对其做进一步处理.

假设一个IP以多个用户登陆, 那么可以认定此IP是通过机器程序操作多个用, 这种IP存在一定的风险.

选择新建策略, 选择 [事件-动态资源请求] 选定属性 [c_ip] , 包含 [ . ] , 这样表达的意思是所有的IP都会被捕获到, 接下来通过条件筛选出同一个IP关联多个用户

随后增加条件筛选

需要注意编辑参数

之后增加处置措施

以上三个例子从3个不同的业务场景说明了制定场景的方法, 希望可以从这些例子帮助到理解根据业务制定策略.