Apa tanggapan http yang Anda kembalikan ke hit dari ip yang masuk daftar hitam?

15

Saya telah menggunakan http: BL untuk memblokir IP buruk mengakses situs saya.

Jika IP jahat (komentar spammer) mencoba untuk memukul situs saya hanya exitskrip web yang secara implisit mengembalikan 200 OKrespons.

Respons lain yang dapat saya kembalikan:

404 tidak ditemukan?

Jika saya mengembalikan 404, mungkin robot akan berpikir "ini buang-buang waktu, mari kita lanjutkan untuk menyerang situs lain" yang akan mengurangi beban di situs (saat ini saya mendapatkan sekitar 2 spam-hit per detik).

Namun

  • Saya enggan mengembalikan 404 pada url yang, dalam keadaan normal, dapat ditemukan.
  • Saya tidak yakin apakah robot spam dapat 'membuang waktu'. yaitu Mengapa seorang penulis bot akan repot-repot kode untuk 404 ketika mereka hanya blitz web saja?

401 Tidak Resmi?

Memblokir IP buruk tidak sama dengan "sumber daya membutuhkan otentikasi pengguna 1) yang belum disediakan atau 2) yang telah disediakan tetapi gagal tes otorisasi"

Secara umum saya merasa bahwa 'menanggapi bot buruk sesuai dengan protokol http yang tepat' memberikan keunggulan bagi orang jahat. Dalam arti bahwa saya bermain dengan aturan sementara mereka tidak (sedikit seperti Inggris di UE - ha, ha). Pada beberapa hari saya merasa harus melakukan sesuatu yang pintar untuk mengalihkan bot ini. Pada hari-hari lain saya hanya berpikir bahwa saya tidak boleh tersinggung dan mengabaikannya. Menerima sebagai par untuk kursus menjalankan situs web.

Saya tidak tahu - apa pendapat Anda? Bagaimana Anda merespons ketika Anda mengetahui IP-nya buruk?

security JW01
sumber
8
Secara pribadi saya ingin mengembalikan sambaran petir, tetapi saya belum menemukan cara melakukannya melalui internet.
the Tin Man
Beberapa tahun yang lalu, saya amati di situs web PR7 Prancis membuka komentar bahwa jika kita tidak menghapus 3-4 komentar spam baru dalam 36H pertama, spammer mengirim 100-300 komentar lagi. Jadi mereka mengirim sebuah penyelidikan, memverifikasi bahwa itu akan menjadi target yang baik dan kemudian mengirim serangan yang sebenarnya. Ada banyak IP yang terlibat saat itu. Bagaimana cara kerja penyerang Anda?
FelipeAls
Saya merasa hanya ada sekitar 2 atau 3 organisasi di belakang 99% dari spam-hit. Mereka tampaknya tidak melakukan penyelidikan karena tidak satu pun dari ribuan kiriman mereka yang pernah ditayangkan di situs saya. Ini semua adalah situasi yang tidak ada gunanya - mereka menghabiskan waktu untuk tidak menghasilkan apa-apa, saya menghabiskan waktu menghapus spam.
JW01
6
Pengembalian 'Diperlukan Pembayaran 402' :)
keppla

Jawaban:

19

Jika Anda ingin bermain sesuai aturan, 403 Forbidden , atau 403.6 alamat IP yang ditolak (spesifik IIS) akan menjadi respons yang benar.

Memberikan tanggapan 200 (dan mengabaikan komentar) mungkin hanya menambah beban di server, karena bot spam mungkin akan terus mengirimkan spam pada kesempatan mendatang, tidak menyadari bahwa itu tidak berpengaruh. Respons 4XX setidaknya mengatakan "pergilah, Anda perlu memeriksa fakta Anda" dan kemungkinan akan mengurangi upaya di masa depan.

Jika Anda memiliki akses firewall, maka blok alamat IP yang masuk daftar hitam di firewall akan meminimalkan beban server / membuatnya tampak bahwa server Anda tidak ada untuk spammer.

Saya akan menyarankan menggunakan 302 Redirect Sementara ke alamat IP spammer sendiri - tetapi ini mungkin tidak akan berpengaruh karena tidak akan ada alasan bagi bot untuk mengikuti redirect.

Jika berurusan dengan spam yang dikirimkan secara manual, membuat spam hanya terlihat oleh alamat IP yang mengirimkannya adalah taktik yang bagus. Spammer hilang dengan senang dan puas (dan tidak mengubah pendekatannya untuk mengatasi pertahanan Anda), dan pengguna lain tidak pernah melihat spam.

MZB
sumber
Terima kasih. Saya belum pernah mendengar tentang Status 403.6. Sehubungan dengan mengarahkan kembali ke IP mereka: Ya, saya mempertimbangkan untuk memegang sebuah cermin sehingga semua yang terlempar pada kami terpental kembali ke mereka ... tapi kemudian saya menyadari bahwa menduplikasi lalu lintas yang buruk bukanlah ide yang cemerlang. 403, maka, mungkin cara yang masuk akal untuk pergi.
JW01
Saya suka 403, atau 404, condong ke arah 404. 403 mungkin mendorong mereka untuk mencoba berbagai taktik. 404 menyiratkan halaman itu tidak ada sama sekali dan itu URL yang buruk. Saya telah menulis banyak laba-laba untuk pekerjaan sebelumnya, dan jarang melihat 403, tetapi berlari ke banyak 404-an. Either way kode saya akan menghapus URL dari antrian, tetapi itu karena saya mencoba untuk bermain adil. Saya juga berpikir melakukan pengalihan permanen ke 127.0.0.1 mungkin lebih baik daripada IP mereka sendiri, meskipun saya belum bermain dengannya. Sayangnya kita tidak bisa mengarahkan mereka ke black-hole sejati.
the Tin Man
ha ha. Saya baru saja membaca kembali komentar pertama saya, "Terima kasih. Saya belum pernah mendengar tentang Status 403.6." - Saya pikir itu adalah salah satu hal geekiest yang saya katakan.
JW01
Firewall - Saya tidak mengerti mengapa perusahaan hosting tidak hanya menawarkan itu sebagai bagian dari paket standar.
JW01
1
@ JW01: Pada mesin khusus atau virtual. Itu tidak bisa menjadi bagian dari host bersama karena akan mempengaruhi pengguna lain. Jika Anda memiliki akses root, atur pergi.
d -_- b
5

Saya tidak tahu apakah ini praktik yang buruk, tetapi saya akan mengonfigurasi server untuk tidak mengirim respons sama sekali.

Andrzej Bobak
sumber
1
ini tidak realistis mengingat bagaimana kebanyakan arsitektur server terjadi. Router dan hal-hal lain menjaga permintaan tetap terbuka hingga respons dikirim, jadi mengirim "tidak ada respons" menimbulkan masalah di lapisan arsitektur server yang tidak Anda inginkan.
Jason FB