Você bloqueia o uso do seu firewall ou redireciona bots ruins para o seu servidor?

Navegue suas respostas
2

Toneladas de bots ruins atingem nossos servidores todos os dias e eu tenho ferramentas para bloqueá-las instantaneamente (ou seja, modsecurity e uma ferramenta C ++). Esses bloqueiam os bots, então nenhum dado é enviado de volta e eles são banidos em meu firewall qualquer acerto extra é imediatamente recusado. Em um dos meus servidores (um pequeno!) Recebo mais de 20 desses blocos por dia e esse servidor recebe apenas 3.000 acessos por mês.

Agora, o bloco de IPs é temporário principalmente para evitar que o meu firewall fique lotado (milhares de IPs em seu firewall o tornarão muito lento!)

No entanto, estou pensando agora ... O que você faz do seu lado? Bloquear tudo de uma vez ou enviar o bot para la la land com um redirecionamento? Eu estou pensando que eu poderia ter uma pequena página HTML com nada (você sabe, algo como um título e um corpo que dizem "Obrigado" e voilà).

Qual você acha que é melhor? Eu vi que os redirecionamentos não pareciam deter nenhum robô, então, o firewall deles foi minha melhor solução até agora ... mas eu estava me perguntando o que os outros fazem nessa situação?

    
por Iain 23.09.2010 / 01:39

2 respostas

2

Um bot pode não necessariamente seguir um redirecionamento. Não é humano, afinal. Na verdade, se o servidor responder com um prompt de endereço alternativo (ou responder a todos), ele poderá ignorá-lo e motivar-se a se aprofundar em seu domínio, ou poderá arrastar você e seu redirecionamento com mais frenesi ao obter qualquer resposta em tudo.

A melhor coisa que você pode fazer é bloquear o IP assim que ele começar a se comportar de maneira suspeita (urls típicos de admin como o php-mysql, seguindo cada link, etc). Caso contrário, não se estresse e deixe que eles façam o que querem. Desde que seu site tenha segurança adequada para bloquear o acesso não autorizado a conteúdo sigiloso e tenha backups de contingência frequentes, você não precisa se preocupar.

    
por 23.09.2010 / 09:09
1

Depende do que está atingindo o seu firewall. IME, blackholing o tráfego tem o melhor efeito.

Recentemente, tive uma enxurrada de consultas DNS no meu servidor de domínio a partir de um pequeno número de endereços. Alguém havia decidido que oferecia uma resposta válida suficiente para uma consulta de servidor raiz (não é um resolvedor aberto) que foi disponibilizada para uma ferramenta DDoS para uso. Um pouco de discussão com o proprietário de um dos endereços IP mostrou que era um pacote falsificado e qualquer resposta seria o DDoS pretendido. Então eu os enlouqueci assim que os vi. Eles todos foram embora agora.

Se alguém tivesse pensado erroneamente que era um resolvedor aberto, o envio de informações enganosas poderia ter sido eficaz. Certamente confuso!

    
por 23.09.2010 / 03:20

Tags

Existe uma maneira fácil de mover diretórios compartilhados entre volumes? Torna o ProFTPD apenas auth contra o MySQL (sem PAM)