Quelle réponse http renvoyez-vous à un hit d'une IP sur liste noire?

15

J'utilise http: BL pour empêcher les mauvaises adresses IP d'accéder à mon site.

Si une IP malveillante (spammeur de commentaires) tente de frapper le site, je viens exitdu script Web qui renvoie implicitement une 200 OKréponse.

Autres réponses que je pourrais retourner:

404 - Pas trouvé?

Si je retourne un 404, les robots penseront peut-être "c'est une perte de temps, passons à l'attaque d'un autre site", ce qui réduirait la charge sur le site (j'obtiens actuellement environ 2 hits de spam par seconde).

pourtant

  • Je suis réticent à retourner des 404 sur des URL qui, dans des circonstances normales, peuvent être trouvées.
  • Je ne sais pas si les robots anti-spam peuvent «perdre du temps». C'est-à-dire pourquoi un écrivain de bot serait-il dérangé de coder pour les 404 alors qu'il blitz sur le Web de toute façon?

401 Non autorisé?

Le blocage d'une mauvaise IP n'est pas tout à fait la même chose que "la ressource nécessite une authentification de l'utilisateur 1) qui n'a pas encore été fournie ou 2) qui a été fournie mais a échoué aux tests d'autorisation"

En général, je pense que «répondre aux bad-bots selon le bon protocole http» donne le dessus aux méchants. Dans le sens où je respecte les règles alors qu'elles ne le font pas (un peu comme la Grande-Bretagne dans l'UE - ha, ha). Certains jours, j'ai l'impression que je devrais faire quelque chose d'intelligent pour détourner ces robots. Les autres jours, je pense simplement que je ne devrais pas le prendre personnellement et simplement les ignorer. L'accepter comme une valeur nominale pour gérer un site Web.

Je ne sais pas - quelles sont vos pensées? Comment réagissez-vous lorsque vous savez que c'est une mauvaise IP?

security JW01
la source
8
Personnellement, je voudrais retourner un éclair, mais je n'ai pas encore trouvé comment le faire sur Internet.
The Tin Man
Il y a quelques années, j'ai observé sur un site Web français PR7 ouvert aux commentaires que si nous ne supprimions pas les 3-4 nouveaux commentaires de spam dans les 36 premières heures, le spammeur envoyait 100 à 300 autres commentaires. Ils ont donc envoyé une sonde, vérifié que ce serait une bonne cible, puis envoyé la véritable attaque. Il y avait de nombreux IP impliqués à l'époque. Comment fonctionnent vos attaquants?
FelipeAls
J'ai l'impression qu'il n'y a qu'un maximum de 2 ou 3 organisations derrière 99% des spams. Ils ne semblent pas faire de sondages car aucune de leurs milliers de soumissions n'a été mise en ligne sur mon site. C'est une situation assez inutile - ils passent leur temps à ne rien faire, je passe du temps à supprimer le spam.
JW01
6
Retour '402 paiement requis' :)
keppla

Réponses:

19

Si vous voulez respecter les règles, l'adresse IP 403 interdite ou 403.6 rejetée (spécifique à IIS) serait la bonne réponse.

Donner une réponse de 200 (et ignorer le commentaire) peut simplement augmenter la charge sur le serveur, car le robot de spam continuera probablement à envoyer du spam à de futures occasions, sans savoir qu'il n'a aucun effet. Une réponse 4XX dit au moins "partez, vous devez vérifier vos faits" et est susceptible de diminuer les tentatives futures.

Dans le cas peu probable où vous avez accès au pare-feu, un bloc d'adresses IP sur la liste noire sur le pare-feu minimiserait la charge du serveur / donnerait l'impression que votre serveur n'existait pas pour le spammeur.

J'allais suggérer d'utiliser une redirection temporaire 302 vers la propre adresse IP du spammeur - mais cela n'aurait probablement aucun effet car il n'y aurait aucune raison pour que le bot suive la redirection.

S'il s'agit d'un spam soumis manuellement, rendre le spam uniquement visible par l'adresse IP qui l'a soumis est une bonne tactique. Le spammeur s'en va content et content (et ne change pas son approche pour contourner vos défenses), et les autres utilisateurs ne voient jamais le spam.

MZB
la source
Merci. Je n'avais jamais entendu parler du statut 403.6. En ce qui concerne la redirection vers leur adresse IP: Oui, j'ai envisagé de tenir un miroir pour que tout ce qui nous est renvoyé leur soit renvoyé ... mais j'ai réalisé que dupliquer le mauvais trafic n'était pas une idée brillante. 403 est donc probablement la voie à suivre.
JW01
J'aime 403, ou 404, penché vers 404. 403 pourrait les encourager à essayer différentes tactiques. 404 implique que la page n'est tout simplement pas là du tout et que c'est une mauvaise URL. J'ai écrit beaucoup d'araignées pour des emplois antérieurs, et j'ai rarement vu 403, mais j'ai rencontré beaucoup de 404. Quoi qu'il en soit, mon code supprimerait l'URL de la file d'attente, mais c'est parce que j'essayais de jouer honnêtement. Je pense également que faire une redirection permanente vers 127.0.0.1 pourrait être mieux que vers leur propre IP, même si je n'ai pas joué avec. Dommage, nous ne pouvons pas les rediriger vers un véritable trou noir.
The Tin Man
ha ha. Je viens de relire mon premier commentaire "Merci. Je n'avais jamais entendu parler du statut 403.6." - Je pense que c'est l'une des choses les plus geek que j'ai dites.
JW01
Pare-feu - je ne comprends pas pourquoi les sociétés d'hébergement ne proposent pas cela uniquement dans le cadre du package standard.
JW01
1
@ JW01: Sur les machines dédiées ou virtuelles, c'est le cas. Il ne peut pas faire partie d'un hôte partagé car cela affecterait les autres utilisateurs. Si vous avez un accès root, modifiez-le.
d -_- b
5

Je ne sais pas si c'est une mauvaise pratique, mais je configurerais le serveur pour qu'il n'envoie aucune réponse.

Andrzej Bobak
la source
1
ce n'est pas réaliste étant donné la façon dont la plupart des architectures de serveurs se produisent. Les routeurs et d'autres éléments maintiennent les demandes ouvertes jusqu'à ce qu'une réponse soit envoyée, de sorte que l'envoi "sans réponse" crée des problèmes dans la couche d'architecture du serveur dont vous ne voulez pas.
Jason FB du