Bloquear tráfego ilegítimo (hackers, scrapers, spammers) para o seu site

1

Segundo para um relatório recente do ZDNet , 31% do tráfego é ilegítimo (hackers, scrapers, spammers). O desafio como administrador de sistema é encontrar uma maneira de bloquear esse tráfego sem bloquear seus usuários reais e mecanismos de busca. Eu pesquisei ServerFault para "block traffic" e encontrei somente respostas sobre ferramentas específicas (como este e this um para iptables ) que não oferece uma visão geral das soluções que estão disponíveis e quando usá-las, por isso gostaria de postar essa pergunta na tentativa de obter uma resposta oficial sobre o assunto.

Comecei a mergulhar nisso e meu entendimento geral é o seguinte: - o menor na pilha que você verifica (por exemplo, iptables ) melhor para o desempenho (porque ele não é processado pelo aplicativo), mas o mais É provável que bloqueie o tráfego legítimo (por exemplo, se você filtrar o IP e um hacker estiver usando um ponto de acesso, você bloqueará todos os usuários que dependem do mesmo ponto de acesso). - quanto maior na pilha você verifica (por exemplo, apache mod_security ) quanto pior para o desempenho (porque todos os componentes até então tiveram que processar as informações), mas o < strong> menos propensos a bloquear o tráfego legítimo .

Como estamos executando REHL 5.6 e Ubuntu 10.04 com httpd/apache + PHP , não vou mentir e confessar que estou interessado apenas em soluções que se encaixem nessas configurações.

P: Você poderia compartilhar, por experiência, as ferramentas que está usando (e por quê) para bloquear o tráfego ilegítimo em seus sites?

    
por Max 15.03.2012 / 12:35

1 resposta

1

Estou usando o OSSEC para evitar ataques ilícitos em meus sites. Ele verifica o que as pessoas estão perguntando e se vê uma tendência de que alguém está pedindo muitos arquivos que não existem para tentar encontrar uma página de login ou um arquivo de configuração aberto, ele irá bloquear automaticamente esses usuários. É bem extenso. Fiz uma postagem no blog sobre isso.

É muito fácil definir suas próprias regras para bloquear ataques de força bruta. Você também pode usar um servidor e vários clientes. Portanto, se um servidor perceber um ataque, ele o bloqueará e notificará o servidor do incidente.

Aqui está um bom post sobre como bloquear alguém que gera muitos 404s.

    
por 15.03.2012 / 13:29