Ko spletna stran postane tarča nenavadno velikega števila zahtevkov, lahko že v nekaj minutah postane počasna, neodzivna ali nedosegljiva. V takšnih primerih mnogi skrbniki spletnih strani posežejo po eni izmed najmočnejših zaščitnih funkcij, ki jih ponuja Cloudflare – načinu Under Attack (UAM – Under Attack Mode).

UAM pomaga pri blaženju HTTP DDoS napadov in omejevanju prekomernega avtomatiziranega prometa. Ker pa dodatno preverja obiskovalce in avtomatizirane sisteme, lahko ob dolgotrajni uporabi vpliva tudi na povsem legitimen promet. To se med drugim odrazi pri spletni analitiki, oglaševalskih platformah, sistemih za spremljanje delovanja strani in drugih integracijah.

V članku bomo pogledali, kako deluje način Under Attack, kdaj ga je smiselno uporabiti in katere težave lahko povzroči. Pokazali bomo tudi, kako v Cloudflare dodati izjeme, ki preverjenim sistemom omogočajo nemoteno delovanje, legitimnim obiskovalcem pa neoviran dostop do spletne strani.

Kazalo

• Kaj je Cloudflare?
• Kaj je funkcionalnost UAM (Under Attack Mode)?
• Kako aktivirati način Under Attack?
• Kdaj uporabiti zaščito Under Attack?
• Zakaj UAM ni priporočljivo uporabljati dlje časa?
  • Google Ads in AdsBot
  • Druge avtomatizirane storitve
• Kako v Cloudflare dodati izjemo?
  • Izjema za preverjene bote (Known Bots)
  • Izjema za obiskovalce iz izbranih držav
• Primer uporabe izjem v načinu Under Attack
• Kdaj zaščito Under Attack ponovno izključiti?
• UAM – zaščita, ki ne ovira legitimnega prometa

Kaj je Cloudflare?

Cloudflare je storitev, ki jo številni poznajo predvsem kot omrežje za dostavo vsebin (CDN). Takšna omrežja omogočajo hitrejšo dostavo vsebin obiskovalcem, saj se določeni elementi spletne strani začasno shranjujejo v podatkovnih centrih po svetu in se uporabnikom posredujejo z geografsko bližjih lokacij.

Poleg hitrejše dostave vsebin Cloudflare ponuja tudi številne varnostne funkcionalnosti. Deluje kot posrednik med obiskovalci spletne strani in strežnikom, na katerem spletna stran gostuje, zato lahko promet filtrira, analizira in po potrebi blokira še preden doseže izvorni strežnik.

Njegove najpogostejše naloge vključujejo:

• izboljšanje hitrosti nalaganja s predpomnjenjem vsebin,
• upravljanje DNS zapisov,
• zmanjševanje obremenitve strežnika,
• zaščito pred različnimi vrstami spletnih napadov,
• filtriranje zlonamernega prometa,
• uporabo požarnega zidu za spletne aplikacije (WAF).

Ena izmed varnostnih funkcionalnosti, po kateri je Cloudflare najbolj prepoznaven, je prav njegova sposobnost zaščite pred DDoS napadi. Med zaščitnimi mehanizmi izstopa način Under Attack, ki ga lahko aktiviramo z le nekaj kliki.

Kaj je funkcionalnost UAM (Under Attack Mode)?

Under Attack Mode (UAM) je poseben zaščitni način v Cloudflare, namenjen predvsem obrambi pred HTTP oziroma tako imenovanimi Layer 7 DDoS napadi. Ko je aktiviran, Cloudflare obiskovalca pred dostopom do spletne strani za kratek čas zadrži in izvede dodatno preverjanje. Šele po uspešno opravljenem preverjanju uporabnik dostopa do dejanske vsebine.

Večina legitimnih obiskovalcev tega postopka skoraj ne opazi. Prikazano je kratko obvestilo o preverjanju brskalnika, po nekaj sekundah pa se stran normalno naloži. Namen varnostnega mehanizma je preprečiti dostop avtomatiziranim sistemom, ki skušajo strežnik preobremeniti z velikim številom zahtevkov.

Kako aktivirati način Under Attack?

Ko ocenimo, da je dodatna zaščita potrebna, lahko način Under Attack v Cloudflare aktiviramo v nekaj korakih:

1. V nadzorni plošči Cloudflare odpremo razdelek Domains.
2. Izberemo domeno, za katero želimo vključiti zaščito.
3. V levem meniju odpremo Security -> Settings.
4. V razdelku Security level poiščemo nastavitev I’m under attack mode.
5. Kliknemo ikono za urejanje (Edit).
6. Vključimo nastavitev I’m under attack mode.
7. Spremembo potrdimo s klikom na gumb Apply settings.

Po aktivaciji Cloudflare dodatno preverja zahtevke, preden jim omogoči dostop do spletne strani.

Kdaj uporabiti zaščito Under Attack?

Ena najpogostejših napak pri uporabi načina Under Attack je predpostavka, da gre za nastavitev, ki jo je smiselno pustiti aktivno neomejeno dolgo. V resnici je funkcionalnost namenjena začasni zaščiti ob konkretni grožnji.

Under Attack Mode je v Cloudflare smiselno aktivirati:

• ko zaznamo aktiven HTTP DDoS napad,
• ko promet nenadoma močno naraste brez očitnega razloga,
• ko strežnik zaradi prekomernega števila zahtevkov postaja neodziven,
• ko požarni zid za spletne aplikacije (WAF) in druga varnostna pravila ne zadoščajo za stabilizacijo razmer.

Ko se razmere umirijo, pa je način Under Attack priporočljivo izključiti in preveriti, ali običajni zaščitni mehanizmi v Cloudflare ponovno zagotavljajo ustrezno raven zaščite.

Zakaj UAM ni priporočljivo uporabljati dlje časa?

Čeprav način Under Attack učinkovito zmanjšuje vpliv napadov, ima tudi določene stranske učinke. Dodatna preverjanja namreč niso namenjena zgolj zlonamernemu prometu. Vplivajo lahko tudi na legitimne uporabnike in avtomatizirane sisteme, ki sicer opravljajo povsem upravičene naloge.

Sodobne spletne strani niso namenjene le obiskovalcem. Do njih dostopajo tudi različni boti ter storitve za oglaševanje, analitiko, spremljanje delovanja in druge integracije. Ker način Under Attack dodatno preverja promet, lahko nekateri izmed njih naletijo na ovire.

Daljša uporaba načina Under Attack lahko povzroči:

• motnje pri delovanju oglaševalskih platform,
• težave pri spletni analitiki,
• oteženo delovanje sistemov za spremljanje delovanja spletnih strani,
• težave pri delovanju preverjenih botov in SEO pajkov,
• motnje pri integracijah tretjih ponudnikov.

To ne pomeni, da je način Under Attack problematičen. Pomeni le, da ga je treba uporabljati premišljeno in ga po potrebi dopolniti z ustreznimi izjemami.

V nadaljevanju si poglejmo nekaj konkretnih primerov, pri katerih lahko način Under Attack vpliva na delovanje zaupanja vrednih storitev, ki do spletne strani dostopajo samodejno.

Google Ads in AdsBot

Google Ads redno preverja pristajalne strani oglasov. Njegovi sistemi analizirajo, ali so ciljne strani dostopne in skladne z oglaševalskimi pravili.

Če AdsBot pri tem naleti na preverjanje načina Under Attack, lahko pride do:

• opozoril o nedosegljivih pristajalnih straneh,
• začasnih zavrnitev oglasov,
• težav pri ponovnem preverjanju,
• otežene diagnostike kampanj.

Druge avtomatizirane storitve

Podobne težave se lahko pojavijo tudi pri drugih storitvah, ki za svoje delovanje samodejno dostopajo do spletne strani. Mednje sodijo sistemi za spremljanje delovanja, orodja za preverjanje dostopnosti ter različni pajki za analizo in pregled spletnih mest (npr. UptimeRobot, Pingdom in XML-Sitemaps).

Če sistemi pri dostopu do spletne strani naletijo na preverjanje načina Under Attack, lahko napačno ocenijo njeno stanje. Posledica so navidezni izpadi, opozorila o nedostopnosti in druge napačne ugotovitve.

Skrbniki spletnih strani tako dobijo izkrivljeno sliko dejanskega stanja. Težava torej ni nujno v delovanju spletne strani, temveč v tem, da avtomatizirane storitve zaradi dodatnih preverjanj ne morejo pravilno dostopati do nje.

Kako v Cloudflare dodati izjemo?

Cloudflare omogoča ustvarjanje pravil, s katerimi določene vrste prometa izvzamemo iz posameznih varnostnih preverjanj.

Novo pravilo ustvarimo v naslednjih korakih:

1. V nadzorni plošči Cloudflare odpremo razdelek Domains.
2. Izberemo domeno, za katero želimo vključiti zaščito.
3. V levem meniju odpremo Security -> Security rules.
4. V zgornjem desnem kotu kliknemo gumb Create rule.
5. Izberemo možnost Custom rules.
6. Ustvarimo novo pravilo in določimo pogoje za izjemo.

Pri ustvarjanju pravil je pomembno, da izjeme ostanejo čim bolj ozko definirane.

Izjema za preverjene bote (Known Bots)

Cloudflare prepoznava preverjene bote večjih ponudnikov. Mednje sodijo pajki spletnih iskalnikov, oglaševalski sistemi, orodja za spremljanje delovanja spletnih strani ter druge zaupanja vredne avtomatizirane storitve.

Za takšne primere lahko ustvarimo pravilo:

• Field: Known Bots
• Operator: equals
• Value: true
• Action: Skip

S tem omogočimo, da preverjeni boti dostopajo do spletne strani brez dodatnih preverjanj načina Under Attack.

Izjema za obiskovalce iz izbranih držav

V določenih primerih je smiselno ustvariti izjeme tudi glede na državo izvora prometa. Če spletna stran posluje predvsem na posameznih trgih in napadi ne prihajajo iz teh držav, lahko legitimnim obiskovalcem omogočimo dostop brez preverjanja.

Primer pravila:

• Field: Country
• Operator: equals
• Value: Slovenia

Po potrebi lahko v pravilo vključimo več držav, na primer Slovenijo (SI), Hrvaško (HR), Avstrijo (AT) in druge države, iz katerih prihaja legitimen promet.

Primer uporabe izjem v načinu Under Attack

Pri eni izmed spletnih strani je bila zaradi povečanega števila sumljivih zahtevkov aktivirana zaščita Under Attack. Po aktivaciji načina Under Attack se je pokazalo, da Cloudflare blokira tudi zahtevke botov AdsBot-Google in AdsBot-Google-Mobile, ki ju Google uporablja za preverjanje pristajalnih strani oglasov. Posledično je prišlo do težav pri delovanju Google Ads kampanj.

Za ohranitev zaščite Under Attack ter hkratno omogočanje nemotenega preverjanja pristajalnih strani sta bili uvedeni dve pravili:

• izjema za preverjene bote (Known Bots),
• izjema za obiskovalce iz ciljnih držav.

Po uvedbi pravil se je pokazalo, da:

1. zaščita Under Attack ostaja aktivna,
2. preverjeni boti in drugi legitimni avtomatizirani sistemi do spletne strani ponovno dostopajo brez dodatnih preverjanj,
3. obiskovalci iz ciljnih držav ne naletijo več na preverjanje načina Under Attack,
4. Cloudflare še naprej filtrira preostali promet in blokira sumljive zahtevke.

Ta primer kaže, da način Under Attack ni nujno izbira med zaščito in dostopnostjo. Z ustrezno nastavljenimi izjemami lahko ohranimo visoko raven zaščite, ne da bi pri tem ovirali delovanje legitimnih avtomatiziranih sistemov.

Kdaj zaščito Under Attack ponovno izključiti?

Način Under Attack je namenjen predvsem odzivu na konkretno grožnjo, zato ga po umiritvi razmer ni smiselno pustiti aktivnega dlje, kot je potrebno.

Pri odločitvi o izklopu UAM je priporočljivo spremljati:

• statistiko prometa v razdelku Cloudflare Analytics,
• varnostne dogodke v razdelku Security Events,
• dnevnike in statistiko dostopov na strežniku,
• opozorila zunanjih sistemov za spremljanje delovanja spletne strani.

Če podatki kažejo, da sumljivih zahtevkov ni več oziroma jih je bistveno manj kot ob začetku napada, lahko način Under Attack izključimo in zaščito ponovno prepustimo običajnim varnostnim mehanizmom v Cloudflare.

Ker imamo ustrezne varnostne izjeme že vzpostavljene, lahko način Under Attack po potrebi znova aktiviramo, če se v prihodnje pojavi podoben val zlonamernega prometa.

UAM – zaščita, ki ne ovira legitimnega prometa

Način Under Attack, ki ga omogoča Cloudflare, je eno najzmogljivejših orodij za zaščito spletnih strani pred HTTP DDoS napadi in drugimi oblikami prekomernega avtomatiziranega prometa. V kritičnih trenutkih lahko hitro zmanjša obremenitev strežnika in prepreči nedosegljivost spletne strani.

Hkrati pa velja upoštevati, da spletne strani danes ne uporabljajo zgolj obiskovalci. Do njih dostopajo tudi oglaševalske platforme, analitični sistemi, orodja za spremljanje delovanja ter mnoge druge storitve. Če način Under Attack ostane aktiviran dlje časa brez ustreznih izjem, lahko začne vplivati tudi na njihovo delovanje.

Praksa kaže, da najboljše rezultate dosežemo s kombinacijo več zaščitnih mehanizmov. Način Under Attack je smiselno uporabljati kot odziv na konkretno grožnjo, ob tem pa z natančno nastavljenimi pravili omogočiti nemoteno delovanje preverjenih botov in legitimnih obiskovalcev. Tako ohranimo visoko raven zaščite, ne da bi pri tem omejevali dostop do spletne strani.