Що таке метод запиту HTTP COOK у моїх журналах?

Я бачу записи в своїх журналах Apache, як описано нижче

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

з COOKзамість звичайного GETабо POST.

Я спробував різноманітні пошукові терміни і не можу знайти інформацію про те, що це може бути. Я також погукав рядок з користувацьким агентом і виявив, що це, ймовірно, сценарій, створений за допомогою Ararat Synapse . І судячи з інших запитів, зроблених за допомогою цього рядка-агента користувача, це комусь, що не приносить користі.

Так це лише якийсь створений метод запиту?

Як Apache обробляє невідомі методи запиту? Код статусу відповіді на всі COOKзапити записується як 303. Так Apache говорить " See Other" і просто надає той самий URI? Я не бачу іншого звернення з того ж IP, тому я припускаю, що відповідь просто реєструється або ігнорується. Вони, ймовірно, повернуться пізніше з іншого IP.

Тож мій сценарій ніколи не виконується, правда?

Це не метод, визначений у будь-яких стандартах HTTP, це точно. Можливо, деякі «спеціальні» методи, реалізовані власницькими веб-серверами.

Оскільки це невідомий метод, Apache нічого не повинен виконувати. Відповідно до статті Вікіпедії про HTTP 303 , і я цитую:

Ця відповідь вказує, що правильну відповідь можна знайти під іншим URI і її слід отримати за допомогою методу GET.

так що Apache в основному говорить клієнту, щоб повторно спробувати запит, використовуючи метод GET.

Дієслово COOK є синонімом рядка User-Agent, що містить "Synapse". Термін Synapse - це безкоштовна бібліотека TCP / IP, написана на Pascal (див. Тут: http://wiki.freepascal.org/Synapse#From_an_HTTP_server ), яка використовується для створення ботів, скреперів та сканерів, а також іншого законного програмного забезпечення.

Цей спосіб атаки, швидше за все, зазвичай пов'язаний з користувальницьким агентом, як згадувалося раніше, наприклад, з SYNAPSE, і оскільки цей інструмент зазвичай використовується для зловмисного зондування та злому, найімовірніше, використовується в цьому методі як спосіб перевірки, якщо ви блокування або встановлення якогось брандмауера або програми, що блокуватиме на основі невідомих методів HTTP. Залежно від відповіді, ви можете отримати уявлення про використовувані інструменти.

Знаючи, що у вас є брандмауер або якийсь інший інструмент для відхилення цих запитів, вони потім обробляють атаку, щоб уникнути загальної поведінки блокування за замовчуванням, що використовується цим типом брандмауера / інструменту.