更新时间:2022-06-17
用于设置Web网站被扫描的行为检测,页面如下。
扫描行为特征:设置来访数据匹配哪些行为特征后,判定为扫描行为,并进行下一步的处置。该功能目前具备的行为特征说明如下:
404页面检测:每N个响应统计一次,如果404页面比例超过配置的百分比,认为是扫描器在扫描网站。具体的频率和比例,可以点击后面的<设置>进行设置,如下图。
[WAF规则拦截频率检测]:通过判断源IP在单位时间内被Web应用防护规则拦截的次数来确定是否为扫描器。具体的频率设置,可以点击后面的<设置>进行设置,如下图。
目录访问频率:通过判断源IP每秒访问目录的次数,来确定是否为扫描器。具体的频率设置,可以点击后面的<设置>进行设置,如下图。
使用不常见的HTTP请求方法:触发HTTP方法过滤规则的行为将会作为扫描器的行为特征之一,需要开启方法过滤。
匹配强扫描规则:通过强扫描规则进行匹配来检测匹配上规则特征的IP是否为扫描器。
匹配弱扫描规则:通过弱扫描规则进行匹配来检测匹配上规则特征的IP是否为扫描器。
敏感文件扫描:一般扫描器会尝试访问各种站点敏感文件,比如配置、密码、数据库文件等。通过对这些敏感文件的检测来确定IP是否是扫描行为。
扫描IP封锁时间:当源IP被匹配为扫描行为后,会根据该选项设置的封锁时间,对源IP进行指定时间的封锁。封锁期,该源IP所有经过AF的数据均被拦截。
隐藏服务器信息:开启此功能后,会智能识别并隐藏服务器的相关版本信息。
:
1.以下两种场景不建议开启防扫描功能:
2.对业务访问者IP进行源地址转换;
3.统一使用代理服务器访问业务。