2022-11-29AWS

AWS Bot 対策

ToC

AWS で CloudFront + ECS で Web サービスを配信していますが、
Bot が多く、その対策を WAF で実行しようとしたい際にいくつかつまづきましたので、その備忘録になります。

以下 2 点を試しました。

  1. WAF v2 で GEO マッチステートメントで Bot のリクエスト元の海外 IP をブロック
  2. WAF v2 Bot Control で Bot 対策

WAF v2 で GEO マッチステートメントで対策

JP (日本) 以外をブロックしました。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
resource "aws_wafv2_web_acl" "main" {
  # 日本以外をブロック
  rule {
    action {
      block {}
    }

    statement {
      not_statement {
        statement {
          geo_match_statement {
            country_codes = ["JP"]
          }
        }
      }
    }

すると、日本からアクセスしたにも関わらず、
日本外と判断され、ブロックされてしまった事象がありました。

その際はスマートフォン (docomo, au, softbank) でのアクセスでした。

誤検知があったのでこの方法は回避しました。

WAF v2 Bot Control で Bot 対策

AWS Bot Control で bot 対策をしてみました。

こちらで現状特段大きな問題がないのですが、
AWS Bot Control を terraform で有効化しようとした際につまづいた点をまとめます。

ManagedRuleGroupConfigs をサポートしていない

※2022-11-29 時点でサポートしておらず、 InspectionLevel の設定ができません。

https://github.com/hashicorp/terraform-provider-aws/issues/23290

1
2
3
4
5
6
7
8
9
10
11
12
13
14
{
  "Name": "AWS-AWSManagedRulesBotControlRuleSet",
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      ...

Bot Control Rules をサポートしていない

※ 2022-11-29 時点

Bot Control Rules の設定をサポートしていないので、手動で設定等が必要です。

Override rule group action はサポートしている

以下設定を rule {} ブロック内に設定すれば、検知モード (ブロック等せずカウントだけ実施する) にできます。

1
2
3
override_action {
  count {}
}

先述した issue で既に言及されているのでいずれサポートされると思います。

利用時には要注意です。

local-exec で aws-cli からアップデートしちゃおうという猛者がいた

https://github.com/hashicorp/terraform-provider-aws/issues/23287

意図しない挙動があるとも否定できないので terraform で完結させたい。
shell スクリプトのテストや構文チェック等をするのも憚れる。

総評

rate limit やその他 SQLi, XSS を設定していたとしても
Bot が一時的に複数 IP 元からリクエストがあると防ぐことが難しいです。

GEO 制限で抑えられたら良かったのですが、リクエストの多いサービスの場合でご検知があると
それだけで商用環境での利用は憚れます。

Bot Control で検知モード (Count) で様子を見て、適宜ブロック設定をしていくのが安全でした。

以上
参考になれば幸いです。

AWS Bot 対策

https://kenzo0107.github.io/2022/11/28/2022-11-29-aws-block-bot/

Author

Kenzo Tanaka

Posted on

2022-11-29

Licensed under

この記事は気に入りましたか? 著者をサポートする

コメント

フォローする

カテゴリ

最近の記事

タグ

.htaccess3
ALB2
AWS43
Android2
Ansible3
AntiVirus1
Apache4
Chef1
CodeBuild1
Cookie1
Corosync1
Datadog6
Docker9
ECR2
ECS3
ElastiCache1
Elasticsearch3
Email1
FTPS1
Fluentd3
GKE4
GitHub Actions1
Go24
GooglePlay1
Hubot1
JavaScript2
Jenkins3
Kibana2
LINE Notify1
Lambda2
Let's encrypt1
Linux2
MachineLearning4
Monitoring12
MySQL9
Nginx11
OpenSSL1
Outlook1
PHP8
Pacemaker1
Prometheus7
ProxySQL1
Puppeteer2
Python11
Rails4
RaspberryPI4
Reactio1
Redis2
Ruby10
S31
SSL5
Security1
SendGrid2
Slack2
SonarQube3
StatsBot1
Swift1
Terraform6
Twilio1
Unity1
Vagrant3
Vault1
WAF1
Zabbix3
awk1
casperjs1
cpu1
csv2
flask1
git2
i-node1
iftop1
ipinfo1
iptable1
kibana1
macos1
nginx1
no-ip1
ping1
pip1
reCAPTCHA1
sftp1
spam1
ssh3
vim1
wget1
yum1
zsh1

更新を購読する

広告

×