programming

Cách phát hiện bot

Để tìm hiểu thêm, hãy đọc các cuộc tấn công nhồi thông tin xác thực của chúng tôi. Sách trắng về chúng là gì và cách chống lại chúng

Auth0 sử dụng một lượng lớn dữ liệu và mô hình thống kê để xác định các mẫu báo hiệu khi các đợt lưu lượng truy cập đăng nhập/đăng ký có khả năng đến từ bot hoặc tập lệnh. Người dùng cố gắng đăng nhập hoặc tạo tài khoản từ các IP được xác định là có khả năng cao là một phần của cuộc tấn công nhồi thông tin xác thực sẽ thấy bước CAPTCHA. Các trình kích hoạt được thiết kế để điều này chỉ xảy ra đối với lưu lượng truy cập kém;

điều kiện tiên quyết

Nếu bạn muốn sử dụng Google reCAPTCHA Enterprise, bạn sẽ cần lấy Khóa trang web, Khóa API và ID dự án từ Google. Để tìm hiểu thêm, hãy đọc Định cấu hình reCAPTCHA Enterprise trên Google Cloud Platform

Định cấu hình phát hiện bot

Bảo vệ này được bật theo mặc định cho tất cả các kết nối

Đi tới và chọn Phát hiện Bot
Trong phần Phát hiện, hãy bật chuyển đổi
Kích hoạt các tính năng chống tấn công mà không bật bất kỳ cài đặt phản hồi nào sẽ kích hoạt chế độ Giám sát, chế độ này chỉ ghi lại các sự kiện liên quan trong nhật ký đối tượng thuê của bạn. Để tìm hiểu thêm, hãy đọc Xem Sự kiện Nhật ký Bảo vệ Tấn công
Nếu bạn không thể nhìn thấy nút chuyển đổi để bật tính năng này, bạn có thể cần phải
Trong phần Phản hồi, chọn thời điểm bạn muốn yêu cầu CAPTCHA
1. Chọn Never để không bao giờ yêu cầu người dùng của bạn hoàn thành CAPTCHA để đăng nhập
2. Chọn Khi rủi ro để chỉ yêu cầu người dùng của bạn hoàn thành CAPTCHA nếu thông tin đăng nhập có vẻ rủi ro cao. Chọn loại CAPTCHA trong bước tiếp theo
3. Chọn Luôn luôn để luôn yêu cầu người dùng của bạn hoàn thành CAPTCHA để đăng nhập. Chọn loại CAPTCHA trong bước tiếp theo
Chọn xem bạn muốn sử dụng CAPTCHA đơn giản do Auth0 cung cấp hay Google reCAPTCHA [yêu cầu thiết lập và đăng ký bên ngoài]
1. Nếu chọn Simple CAPTCHA là xong. Chọn tùy chọn này nếu trải nghiệm đăng nhập của bạn bắt buộc phải hoạt động mà không cần JavaScript
2. Nếu bạn chọn Google reCAPTCHA v2, hãy nhập Khóa trang web và Bí mật trang web mà bạn nhận được khi đăng ký ứng dụng của mình với Google
3. Nếu bạn chọn Google reCAPTCHA Enterprise, hãy nhập Khóa trang web, Khóa API và ID dự án mà bạn đã nhận được khi định cấu hình Google reCAPTCHA Enterprise trên Google Cloud Platform. Để tìm hiểu thêm, hãy đọc Định cấu hình reCAPTCHA Enterprise trên Google Cloud Platform
  Đảm bảo rằng bạn đã chọn When Risky hoặc Always dưới Enforce CAPTCHA ở trên
Nhấp vào để lưu

Cho phép các địa chỉ IP đáng tin cậy bỏ qua việc phát hiện bot

Bạn có thể tạo tối đa 100 địa chỉ IP nhất định được miễn khỏi sự phát hiện của bot bằng cách thêm chúng vào Danh sách cho phép IP. Auth0 không chặn hoặc cảnh báo khi các IP này bỏ qua Bảo vệ Bot

Đi tới và chọn Phát hiện Bot
Trong hộp Danh sách cho phép IP, hãy nhập địa chỉ IP và/hoặc dải CIDR [IPv4 hoặc IPv6] mà bạn muốn cho phép đăng nhập và đăng ký không giới hạn. Phân tách nhiều địa chỉ hoặc phạm vi bằng dấu phẩy

Hạn chế và hạn chế

Giới hạn lưu lượng

Tính năng bảo vệ bot hoạt động cho các ứng dụng web và thiết bị di động sử dụng Đăng nhập toàn cục Auth0. Đối với những trải nghiệm không sử dụng Đăng nhập toàn cục , mức độ hỗ trợ bị hạn chế, đặc biệt đối với các luồng không thể hỗ trợ xác thực CAPTCHA hoặc reCAPTCHA. Vui lòng đảm bảo rằng tất cả các trải nghiệm đăng nhập của bạn đều được hỗ trợ trước khi bật tính năng này, nếu không bạn có thể gây lỗi cho ứng dụng của mình.

FlowLimitationĐăng nhập toàn cục mớiĐược hỗ trợ theo mặc định. Đăng nhập toàn cục cổ điển [không có tùy chỉnh]Được hỗ trợ theo mặc định. Đăng nhập toàn cục cổ điển [trang đăng nhập tùy chỉnh bằng cách sử dụng tiện ích lock.js mẫu Khóa]Được hỗ trợ nếu sử dụng phiên bản Khóa 11. 30 hoặc cao hơn. Đăng nhập toàn cục cổ điển [trang đăng nhập tùy chỉnh sử dụng tiện ích Mẫu đăng nhập tùy chỉnh mẫu auth0.js] Được hỗ trợ nếu sử dụng auth0.js phiên bản 9. 16 trở lên để tạo trang đăng nhập tùy chỉnh chỉ khi bạn nâng cao mã của mình để xử lý thử thách CAPTCHA hoặc reCAPTCHA. Đăng nhập toàn cục cổ điển [trang đăng nhập tùy chỉnh sử dụng mẫu Không cần mật khẩu]Không được hỗ trợ. Ứng dụng web hoặc ứng dụng gốc sử dụng Luồng mật khẩu của chủ sở hữu tài nguyên [bao gồm cả những ứng dụng sử dụng SDK lock.android và lock.swift]Không được hỗ trợ. Ứng dụng gốc sử dụng phiên bản SDK mới nhấtĐược hỗ trợ. SDK xử lý đăng nhập rủi ro bằng cách gọi luồng Đăng nhập toàn cục. Các luồng không được Auth0 lưu trữ bằng cách sử dụng lock.js, auth0.js thực hiện xác thực nhiều nguồn gốc [điểm cuối co/authenticate]Không được hỗ trợ

Giới hạn loại kết nối

Tùy thuộc vào loại kết nối bạn sử dụng, tính năng phát hiện bot có những hạn chế sau

Loại kết nốiGiới hạnCơ sở dữ liệuĐược hỗ trợ nếu thông tin đăng nhập sử dụng luồng đăng nhập tương thích như được mô tả trong bảng Giới hạn luồng. Cơ sở dữ liệu tùy chỉnhĐược hỗ trợ nếu thông tin đăng nhập sử dụng quy trình đăng nhập tương thích như được mô tả trong bảng Giới hạn quy trình. Active Directory/LDAPSupported nếu thông tin đăng nhập sử dụng luồng đăng nhập tương thích như được mô tả trong bảng Giới hạn luồng. Doanh nghiệp Không được hỗ trợ. Đăng nhập mạng xã hộiKhông được hỗ trợ. Không cần mật khẩuKhông được hỗ trợ

Hỗ trợ trang đăng nhập tùy chỉnh

Nếu bạn tạo trang đăng nhập tùy chỉnh bằng Auth0. js, bạn có thể bật tính năng phát hiện bot để hiển thị bước CAPTCHA trong các trường hợp khi yêu cầu đăng nhập được Auth0 xác định là có rủi ro cao. Mã biểu mẫu đăng nhập tùy chỉnh của bạn phải xử lý các tình huống trong đó người dùng được yêu cầu chuyển bước CAPTCHA. Để tìm hiểu thêm, hãy đọc Thêm Phát hiện Bot vào Trang Đăng nhập Tùy chỉnh

Hỗ trợ ứng dụng gốc

Nếu xây dựng ứng dụng gốc bằng SDK Auth0 cho quy trình đăng nhập, bạn có thể bật tính năng phát hiện bot để hiển thị bước CAPTCHA trong các tình huống khi yêu cầu đăng nhập được Auth0 xác định là có rủi ro cao. Mã biểu mẫu đăng nhập tùy chỉnh của bạn phải xử lý các tình huống trong đó người dùng được yêu cầu chuyển bước CAPTCHA. Để tìm hiểu thêm, hãy đọc Thêm tính năng phát hiện bot vào ứng dụng gốc

Bạn có thể theo dõi bot?

Tính năng phát hiện phía máy chủ có thể đủ để xác định các bot cơ bản nhưng không thể xác định các bot nâng cao có dấu vân tay HTTP, TLC và TLS nhất quán . Phát hiện phía máy khách sử dụng các kỹ thuật như theo dõi trình duyệt, theo dõi ứng dụng và theo dõi sự kiện của người dùng để phát hiện các bot nâng cao hơn đáng kể.

Tại sao bot khó phát hiện?

Bot ngày càng trở nên tinh vi hơn và khó phát hiện hơn. Bot có thể bắt chước hành vi của con người, chẳng hạn như thích và chia sẻ hoặc thậm chí là tạo nội dung, khiến nạn nhân khó phân biệt được họ đang tương tác với người thật hay bot. Attackers can also use bots to create fake reviews on websites.

Các bot được phát hiện trong trò chơi như thế nào?

Hầu hết các máy chủ trò chơi đều tạo nhật ký sự kiện bất cứ khi nào người dùng thực hiện các hành động như săn bắn, thu hoạch và trò chuyện. Do đó, nhật ký trong trò chơi này hỗ trợ phân tích dữ liệu như một phương pháp khả thi để phát hiện bot trò chơi.

Làm thế nào bạn có thể nói với một bot từ một địa chỉ IP?

“ Nếu bạn vẫn thấy cùng một địa chỉ IP xuất hiện trên nhật ký của mình, thì rất có thể chúng có thể là bot ,” anh ấy . Bạn có thể kiểm tra địa chỉ IP, vị trí và tên máy chủ theo cách thủ công, sử dụng trang web như IPAvoid. Nếu IP được đưa vào danh sách đen hoặc không phải là địa chỉ cư trú, thì rất có thể đó là bot.