До якої відповіді http ви повертаєтесь до звернення із ip із чорного списку?

15

Я використовую http: BL, щоб заблокувати доступ поганих IP-адрес до мого сайту.

Якщо зловмисний IP (комерційний спамер) намагається потрапити на сайт, я просто exitвеб-скрипт, який неявно повертає 200 OKвідповідь.

Інші відповіді, які я міг би повернути:

404 Не знайдено?

Якщо я поверну 404, можливо, роботи подумають, що "це марна трата часу, давайте перейдемо до атаки на інший сайт", що зменшило б навантаження на сайт (в даний час я отримую близько 2 спам-хітів за секунду).

Однак

  • Я не хочу повертати 404 на URL-адреси, які за звичайних обставин можна знайти.
  • Я не впевнений, чи можуть спам-роботи "втратити час". тобто чому б письменнику-боту було б клопотати кодувати 404-х, коли вони все-таки просто заграють в Інтернеті?

401 Несанкціонований?

Блокування поганого IP-адреси не зовсім те саме, що "ресурс вимагає автентифікації користувача 1), яка ще не була надана, або 2) яка була надана, але не вдалося перевірити авторизацію"

Взагалі я вважаю, що "реагування на поганих ботів відповідно до правильного протоколу http" дає поганим хлопцям перевагу. У тому сенсі, що я граю за правилами, поки вони цього не роблять (трохи схоже на Британію в ЄС - га, га). Деякі дні я відчуваю, що мені слід зробити щось розумне, щоб відвернути цих ботів. В інші дні я просто думаю, що не повинен це сприймати особисто і просто ігнорувати їх. Приймаючи її як номінальну для ходу роботи веб-сайту.

Я не знаю - які ваші думки? Як ви реагуєте, коли знаєте, що це поганий IP?

security 
JW01
джерело
8
Особисто я хотів би повернути блискавку, але ще не зрозумів, як це зробити через Інтернет.
Олов'яний чоловік
Кілька років тому я помітив, що на французькому веб-сайті PR7 відкрили коментарі, що якщо ми не видалимо 3-4 нових коментарів щодо спаму в перші 36 год, спамер надіслав ще 100-300 коментарів. Тож вони надіслали зонд, перевірили, що це буде добра ціль, а потім відправили справжню атаку. Тоді були численні IP-адреси. Як працюють ваші нападники?
FelipeAls
Я відчуваю, що лише 99% організацій відстають від 99% спам-хітів. Вони, схоже, не роблять зондування, тому що жодне з їхніх тисяч заявок ніколи не з'являлось на моєму сайті. Це все досить безглузда ситуація - вони витрачають свій час на досягнення нічого, я витрачаю час на видалення спаму.
JW01
6
Повернення '402 Потрібна оплата' :)
keppla

Відповіді:

19

Якщо ви хочете грати за правилами, правильною відповіддю буде відхилена 403 Заборонена або 403,6 IP-адреса (специфічна для IIS).

Надання відповіді 200 (і ігнорування коментаря) може просто збільшити навантаження на сервер, оскільки спам-бот, ймовірно, продовжить подавати спам у майбутніх випадках, не усвідомлюючи, що це не матиме ніякого ефекту. Відповідь 4XX принаймні говорить, що "йдіть геть, потрібно перевірити свої факти", і це, ймовірно, зменшить майбутні спроби.

У тому випадку, коли у вас є доступ до брандмауера, то блок IP-адрес із чорного списку на брандмауері мінімізує завантаження сервера / зробить так, що ваш сервер не існував для спамера.

Я збирався запропонувати використовувати тимчасовий переспрямування 302 на власну IP-адресу спамера - але це, мабуть, не матиме ефекту, оскільки бот не буде причин слідувати за переадресацією.

Якщо ви маєте справу з поданням спаму вручну, зробіть спам видимим лише за IP-адресою, яка надіслала його, є хорошою тактикою. Спамер залишається задоволеним і задоволеним (і не відрізняється своїм підходом до обходу вашої оборони), а інші користувачі ніколи не бачать спам.

MZB
джерело
Спасибі. Я ніколи не чув про статус 403.6. Що стосується того, щоб повернутись до їх IP: Так, я подумав про те, щоб підняти дзеркало, щоб все, кинуте на нас, відскакувало їм ... але тоді я зрозумів, що дублювання поганого трафіку не є яскравою ідеєю. 403, мабуть, це розумний шлях.
JW01
Мені подобається 403, або 404, схиляючись до 404. 403 може спонукати їх спробувати різні тактики. 404 означає, що сторінки просто її немає, і це погана URL-адреса. Я написав багато павуків для минулих робіт, і рідко бачив 403, але натрапив на 404. У будь-якому випадку мій код видалить URL-адресу з черги, але це тому, що я намагався грати чесно. Я також думаю, що робити постійне переспрямування на 127.0.0.1 може бути краще, ніж до їх власного IP, хоча я не грав з цим. На жаль, ми не можемо перенаправити їх на справжню чорну діру.
Людина з жерсті
ха-ха. Я щойно перечитав свій перший коментар "Спасибі. Я ніколи не чув про статус 403.6". - Я думаю, що це одна з найвиразніших речей, про які я говорив.
JW01
Знову брандмауер - я не розумію, чому хостингові компанії не пропонують це лише як частину стандартного пакету.
JW01
1
@ JW01: На виділених або віртуальних машинах воно є. Він не може бути частиною спільного хоста, оскільки це вплине на інших користувачів. Якщо у вас є кореневий доступ, вимкніть його.
d -_- b
5

Я не знаю, чи це погана практика, але я налаштував би сервер взагалі не надсилати відповіді.

Анджей Бобак
джерело
1
це нереально, враховуючи те, як відбувається більшість архітектур сервера. Маршрутизатори та інші речі зберігають запити відкритими, поки відповідь не буде надіслана, тому надсилання "без відповіді" створює проблеми в шарі архітектури сервера, який ви не хочете.
Джейсон ФБ
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.