Welche http-Antwort kehren Sie zu einem Treffer von einer IP auf der schwarzen Liste zurück?

15

Ich habe http: BL verwendet , um zu verhindern, dass ungültige IP-Adressen auf meine Website zugreifen.

Wenn eine böswillige IP (Kommentar-Spammer) versucht, die Site zu erreichen, gibt ich nur exitdas Web-Skript aus, das implizit eine 200 OKAntwort zurückgibt .

Andere Antworten, die ich zurückgeben könnte:

404 Nicht gefunden?

Wenn ich einen 404 zurückgebe, denken die Roboter vielleicht, "das ist Zeitverschwendung, lasst uns weitermachen, um eine andere Site anzugreifen", was die Belastung der Site verringern würde (ich erhalte derzeit ungefähr 2 Spam-Treffer pro Sekunde).

jedoch

  • Ich bin nur ungern 404 ist auf Urls zurückzuversetzen, die unter normalen Umständen können gefunden werden.
  • Ich bin mir nicht sicher, ob Spam-Roboter Zeit verschwenden können. Warum sollte sich ein Bot-Schreiber die Mühe machen, für 404-Dateien zu programmieren, wenn er nur im Internet blitzt?

401 nicht Autorisiert?

Das Blockieren einer ungültigen IP ist nicht ganz dasselbe wie "Die Ressource erfordert eine Benutzerauthentifizierung 1) die noch nicht bereitgestellt wurde oder 2) die bereitgestellt wurde, aber die Autorisierungstests nicht bestanden hat".

Im Allgemeinen habe ich das Gefühl, dass die Bösen die Oberhand haben, wenn sie auf die Bots gemäß dem richtigen http-Protokoll reagieren. In dem Sinne, dass ich mich an die Regeln halte, während sie es nicht tun (ein bisschen wie Großbritannien in der EU - ha, ha). An manchen Tagen habe ich das Gefühl, ich sollte etwas Kluges tun, um diese Bot's wegzulenken. An anderen Tagen denke ich nur, dass ich es nicht persönlich nehmen und sie einfach ignorieren sollte. Akzeptiere es als Standard für den Betrieb einer Website.

Ich weiß nicht - was sind deine Gedanken? Wie reagieren Sie, wenn Sie wissen, dass es sich um eine schlechte IP handelt?

security JW01
quelle
8
Persönlich würde ich gerne einen Blitz zurückgeben, aber ich habe noch nicht herausgefunden, wie das über das Internet geht.
der Blechmann
Vor ein paar Jahren habe ich auf einer französischen PR7-Website festgestellt, dass der Spammer 100-300 weitere Kommentare gesendet hat, wenn wir die 3-4 neuen Spam-Kommentare in den ersten 36 Stunden nicht entfernt haben. Also schickten sie eine Sonde, verifizierten, dass es sich um ein gutes Ziel handelte und sendeten dann den echten Angriff. Damals gab es zahlreiche IP beteiligt. Wie arbeiten Ihre Angreifer?
FelipeAls
Ich habe das Gefühl, dass maximal 2 oder 3 Organisationen hinter 99% der Spam-Zugriffe stehen. Sie scheinen keine Tests durchzuführen, da keine ihrer Tausenden von Einsendungen jemals auf meiner Website veröffentlicht wurde. Es ist alles eine ziemlich sinnlose Situation - sie verbringen ihre Zeit damit, nichts zu erreichen, ich verbringe Zeit damit, Spam zu löschen.
25.
6
Return '402 Zahlung erforderlich' :)
keppla

Antworten:

19

Wenn Sie die Regeln einhalten möchten, ist 403 Forbidden oder 403.6 IP-Adresse abgelehnt (IIS-spezifisch) die richtige Antwort.

Eine Antwort von 200 (und das Ignorieren des Kommentars) kann nur die Belastung des Servers erhöhen, da der Spam-Bot vermutlich bei zukünftigen Gelegenheiten weiterhin Spam sendet, ohne zu bemerken, dass dies keine Auswirkungen hat. Eine 4XX-Antwort besagt mindestens "Geh weg, du musst deine Fakten überprüfen" und verringert wahrscheinlich zukünftige Versuche.

In dem unwahrscheinlichen Fall, dass Sie über einen Firewall-Zugriff verfügen, würde ein Block von IP-Adressen auf der Blacklist an der Firewall die Serverlast minimieren bzw. den Eindruck erwecken, dass Ihr Server für den Spammer nicht existiert.

Ich wollte vorschlagen, eine 302-temporäre Umleitung zur eigenen IP-Adresse des Spammers zu verwenden - aber dies hätte wahrscheinlich keine Auswirkung, da es keinen Grund für den Bot gibt, der Umleitung zu folgen.

Wenn es sich um manuell gesendeten Spam handelt, ist es eine gute Taktik, den Spam nur anhand der von ihm gesendeten IP-Adresse sichtbar zu machen. Der Spammer verschwindet glücklich und zufrieden (und ändert nichts an seiner Herangehensweise, um Ihre Abwehrkräfte zu umgehen), und die anderen Benutzer sehen den Spam nie.

MZB
quelle
Vielen Dank. Ich hatte noch nie von Status 403.6 gehört. In Bezug auf die Umleitung zurück zu ihrer IP: Ja, ich dachte darüber nach, einen Spiegel hochzuhalten, damit alles, was auf uns geworfen wird, zu ihnen zurückgeworfen wird. 403 ist also wahrscheinlich der vernünftige Weg.
JW01
Ich mag 403 oder 404 und neige zu 404. 403 könnte sie dazu ermutigen, andere Taktiken auszuprobieren. 404 impliziert, dass die Seite überhaupt nicht vorhanden ist und es sich um eine ungültige URL handelt. Ich habe viele Spinnen für frühere Jobs geschrieben und selten 403 gesehen, aber ich habe viele 404 gesehen. In jedem Fall würde mein Code die URL aus der Warteschlange entfernen, aber das liegt daran, dass ich versucht habe, fair zu spielen. Ich denke auch, dass eine permanente Weiterleitung zu 127.0.0.1 besser ist als zu ihrer eigenen IP, obwohl ich nicht damit gespielt habe. Schade, dass wir sie nicht auf ein echtes Schwarzes Loch umleiten können.
der Blechmann
ha ha. Ich habe gerade meinen ersten Kommentar "Danke. Ich hatte noch nie von Status 403.6 gehört." Erneut gelesen. - Ich denke, das ist eines der geekesten Dinge, die ich gesagt habe.
25.
Re Firewall - Ich verstehe nicht, warum Hosting-Unternehmen das nicht nur als Teil des Standardpakets anbieten.
JW01,
1
@ JW01: Auf dedizierten oder virtuellen Maschinen ist es. Es kann nicht Teil eines gemeinsam genutzten Hosts sein, da dies Auswirkungen auf die anderen Benutzer haben würde. Wenn Sie Root-Zugriff haben, ändern Sie die Einstellungen.
d -_- b
5

Ich weiß nicht, ob es eine schlechte Praxis ist, aber ich würde den Server so konfigurieren, dass überhaupt keine Antwort gesendet wird.

Andrzej Bobak
quelle
1
Dies ist nicht realistisch, da die meisten Serverarchitekturen ausgeführt werden. Router und andere Dinge lassen Anforderungen offen, bis eine Antwort gesendet wird. Wenn Sie also "keine Antwort" senden, entstehen Probleme in der Serverarchitekturschicht, die Sie nicht möchten.
Jason FB