Qual resposta http você retorna a um hit de um ip na lista negra?

15

Eu tenho usado o http: BL para impedir que IPs ruins acessem meu site.

Se um IP mal-intencionado (spammer de comentários) tenta acessar o site, apenas exito script da web que retorna implicitamente uma 200 OKresposta.

Outras respostas que eu poderia retornar:

404 não encontrado?

Se eu devolver um 404, talvez os robôs pensem "isso é uma perda de tempo, vamos atacar outro site", o que reduziria a carga no site (atualmente recebo cerca de 2 ocorrências de spam por segundo).

Contudo

  • Estou relutante em devolver 404 em URLs que, em circunstâncias normais, podem ser encontrados.
  • Não tenho certeza se os robôs de spam podem 'perder tempo'. Por que um escritor de bot se incomodaria em codificar 404, quando ele simplesmente blitz na Web?

401 não autorizado?

Bloquear um IP incorreto não é o mesmo que "o recurso requer autenticação do usuário 1) que ainda não foi fornecida ou 2) que foi fornecida, mas falhou nos testes de autorização"

Em geral, sinto que 'responder aos bad-bots de acordo com o protocolo http adequado' dá aos bandidos a vantagem. No sentido de que eu jogo segundo as regras enquanto não o fazem (um pouco como a Grã-Bretanha na UE - ha, ha). Em alguns dias, sinto que devo fazer algo inteligente para desviar esses bot's. Em outros dias, acho que não devo levar para o lado pessoal e simplesmente ignorá-los. Aceitando-o como par para o curso de execução de um site.

Não sei - quais são seus pensamentos? Como você responde quando sabe que é um IP ruim?

security JW01
fonte
8
Pessoalmente, gostaria de devolver um raio, mas ainda não descobri como fazer isso pela Internet.
o Homem de Lata
Alguns anos atrás, observei em um site PR7 francês aberto a comentários que, se não removermos os 3-4 novos comentários de spam nas primeiras 36H, o remetente de spam enviou de 100 a 300 comentários adicionais. Então eles enviaram uma investigação, verificaram que seria um bom alvo e depois enviaram o ataque real. Havia inúmeros IP envolvidos naquela época. Como seus atacantes funcionam?
FelipeAls
Sinto que há apenas cerca de 2 ou 3 organizações por trás de 99% das ocorrências de spam. Eles não parecem investigar porque nenhum de seus milhares de envios foi publicado no meu site. É tudo uma situação sem sentido - eles gastam seu tempo sem conseguir nada, eu gasto tempo excluindo spam.
JW01
6
Retorno '402 Pagamento obrigatório' :)
keppla

Respostas:

19

Se você deseja seguir as regras, 403 Proibido ou 403.6 Endereço IP rejeitado (específico do IIS) seria a resposta correta.

Dar uma resposta de 200 (e ignorar o comentário) pode apenas aumentar a carga no servidor, pois o bot de spam presumivelmente continuará enviando spam em ocasiões futuras, sem saber que não está tendo efeito. Uma resposta 4XX diz pelo menos "vá embora, você precisa verificar seus fatos" e provavelmente diminuirá as tentativas futuras.

No caso improvável de você ter acesso ao firewall, um bloco de endereços IP na lista negra no firewall minimizaria a carga do servidor / pareceria que o servidor não existia para o remetente de spam.

Eu sugeriria o uso de um redirecionamento temporário 302 para o próprio endereço IP do remetente de spam - mas isso provavelmente não teria efeito, pois não haveria motivo para o bot seguir o redirecionamento.

Ao lidar com spam enviado manualmente, tornar o spam visível apenas pelo endereço IP que o enviou, é uma boa tática. O remetente de spam desaparece feliz e contente (e não varia sua abordagem para solucionar suas defesas), e os outros usuários nunca veem o spam.

MZB
fonte
Obrigado. Eu nunca tinha ouvido falar do status 403.6. No que diz respeito a redirecionar de volta para o IP: Sim, eu considerei segurar um espelho para que tudo jogado contra nós fosse devolvido a eles ... mas então percebi que duplicar tráfego ruim não era uma idéia brilhante. 403, então, é provavelmente o caminho sensato a seguir.
JW01
Gosto de 403, ou 404, inclinando-se para 404. 403 pode incentivá-los a tentar táticas diferentes. 404 implica que a página simplesmente não existe e é um URL incorreto. Eu escrevi muitas aranhas para trabalhos passados ​​e raramente vi 403, mas me deparei com muitas 404s. De qualquer maneira, meu código removeria o URL da fila, mas é porque eu estava tentando jogar limpo. Também estou pensando que fazer um redirecionamento permanente para 127.0.0.1 pode ser melhor do que para o próprio IP, embora eu não tenha brincado com ele. Para mal, não podemos redirecioná-los para um verdadeiro buraco negro.
the Tin Man
ha ha. Acabei de reler meu primeiro comentário "Obrigado. Eu nunca tinha ouvido falar do Status 403.6". - Eu acho que é uma das coisas mais geeks que eu já disse.
JW01
Re-firewall - não entendo por que as empresas de hospedagem não oferecem isso apenas como parte do pacote padrão.
JW01
1
@ JW01: Em máquinas dedicadas ou virtuais, é isso. Não pode fazer parte de um host compartilhado, pois afetaria os outros usuários. Se você tiver acesso root, ajuste-o.
precisa
5

Não sei se é uma má prática, mas eu configuraria o servidor para não enviar nenhuma resposta.

Andrzej Bobak
fonte
1
isso não é realista, considerando como acontece a maioria das arquiteturas de servidor. Os roteadores e outras coisas mantêm as solicitações abertas até que uma resposta seja enviada; portanto, o envio de "sem resposta" cria problemas na camada de arquitetura do servidor que você não deseja.
Jason FB