حماية API من تعدين البيانات

كانت الفترة التي سبقت موسم الجمعة السوداء المزدحم للغاية في نوفمبر 2021 و معالجات المتجر الخاصة بك«أدرك المطور Brett Bittke أن شيئًا غريبًا يحدث لتطبيق تحسين البحث الشهير لشركته، سحر البحث.

بالنسبة لمواقع التجارة الإلكترونية، تُحدث أداة مثل Search Magic فرقًا كبيرًا في المبيعات من خلال تسريع السرعة التي يمكن للمستهلكين من خلالها العثور على المنتجات. تظهر المنتجات المقترحة تلقائيًا عندما يكتب المستخدمون في مربع البحث، ويتم تصحيح الأخطاء الإملائية، بينما يمكن للتطبيق أيضًا حل المرادفات أو الكلمات غير العادية للمنتج الصحيح.

الآن، بعد سنوات عديدة من الأداء الخالي من العيوب، تباطأ التطبيق إلى حد كبير بالنسبة لعملائه البالغ عددهم 200 عميل حيث واجه ما بدا وكأنه هجوم رفض الخدمة (DoS) على واجهة برمجة تطبيقات الأداة.

«كنا نتلقى حركة مرور قادمة من أعداد كبيرة من الهواتف المحمولة في مواقع مختلفة مع جميع أنواع عناوين IP. يقول بريت بيتك، مطور برنامج Your Store Wizards، «لقد كان الألم المستمر هو الذي أدى في بعض الأحيان إلى تعطيل خوادمنا».

استجابت الشركة بزيادة عدد الخوادم ولكن التركيز بقوة على المشكلة لم يحدث فرقًا. تم تغيير حجم حركة المرور المارقة ببساطة لاستهلاك ذلك أيضًا.

بدا الأمر وكأنه DoS ولكن حقيقة أن حركة المرور كانت تنبع مما بدا أنه وكلاء شرعيون لمستخدمي الهاتف المحمول كانت دليلًا على أنهم واجهوا عدوًا جديدًا نما في الآونة الأخيرة من إزعاج عرضي إلى مخاطر تجارية كبيرة - كشط الأسعار وروبوتات مراقبة المنتجات.

تعاني مواقع التجارة الإلكترونية اليوم من جميع أنواع الروبوتات ذات الأغراض المختلفة، ولكن كاشطات الأسعار هي من بين أكثر المواقع إزعاجًا. هدفهم هو مراقبة أسعار المنافسين على مدار الساعة طوال أيام الأسبوع بهدف فهم نموذجهم الاقتصادي بالتفصيل.

في العادة، يمكن حظر كاشطات الأسعار من خلال بعض التعديلات على جدار حماية تطبيقات الويب (WAF) وهذا هو السبب في أن أفضل الروبوتات بدأت في استخدام أعداد كبيرة من عناوين IP السكنية - أجهزة الكمبيوتر المنزلية الأصلية والهواتف المحمولة - لجعل الحظر صعبًا أو مستحيلًا دون المخاطرة بالإيجابيات الكاذبة.

يعلق Bittke قائلاً: «كنا نستخدم الحماية العامة للبوت في Cloudflare، لكن هذا لم يكن ناجحًا». «لا يمكننا المخاطرة بحظر المستخدمين، أو قد ينتهي بنا الأمر بحظر العملاء الحقيقيين.» كان البديل هو الاشتراك في خدمة روبوت Cloudflare للمؤسسات، ولكن بهذه الطريقة خارج النطاق السعري.

كانت حركة المرور التي أدت إلى إبطاء Search Magic إلى واجهة برمجة التطبيقات (API)، مما يجعل التمييز بين حركة المرور المشروعة والمارقة أمرًا صعبًا بشكل خاص نظرًا لأنها مؤتمتة دائمًا. يكافح نهج WAF التقليدي للدفاع ضد هذا النوع من التهديد، بينما لن يعمل اختبار CAPTCHAS للمستخدم على الإطلاق.

قدمت منصة VerifiedVisitors للشركة مخرجًا. بالتكامل مع Cloudflare و AWS Cloudfront، يقوم VerifiedVisitors باكتشاف وحظر حركة مرور الروبوت على حافة الشبكة - قبل أن تصل إلى واجهة برمجة التطبيقات - باستخدام خوارزميات تقارن أنماط حركة المرور العادية مع الأنماط المشبوهة.

«لقد كان إعدادًا آليًا بسيطًا أوقف 98٪ من المشكلة على الفور. بالنسبة لآخر 2٪، نسأل VerifiedVisitors ويقومون بإجراء تعديل على خوارزميات الكشف الآلي الخاصة بهم «، كما يقول Bittke.

أصبحت Search Magic API متاحة بسرعة لعملاء الشركة مرة أخرى وتمكن المطورون من إعادة سعة الخادم باهظة الثمن إلى مستواها الطبيعي.

حتمًا، تتطور روبوتات إلغاء الأسعار، وهذا هو السبب في أن اليقظة المستمرة والدعم من VerifiedVisitors ضروريان لمواجهة التقنيات الجديدة. ولكن إذا كانت هناك مشكلة الآن، فيمكن لـ Bittke وفريقه زيارة لوحة معلومات VerifiedVisitors والحصول على حالة في الوقت الفعلي لأي حركة مرور غير عادية تصل إلى واجهة برمجة التطبيقات الخاصة بهم.

«على عكس عام 2021، يمكننا أن نرى ما نواجهه.»