¿Qué respuesta http devuelve a un hit desde una IP en la lista negra?

He estado usando http: BL para bloquear el acceso de mi IP a direcciones IP incorrectas.

Si una IP maliciosa (spammer de comentarios) intenta acceder al sitio, solo exitel script web que implícitamente devuelve una 200 OKrespuesta.

Otras respuestas que podría devolver:

¿404 No encontrado?

Si devuelvo un 404, tal vez los robots piensen "esto es una pérdida de tiempo, sigamos atacando otro sitio", lo que reduciría la carga en el sitio (actualmente recibo alrededor de 2 ataques de spam por segundo).

sin embargo

Soy reacio a devolver 404 en URL que, en circunstancias normales, se pueden encontrar.
No estoy seguro de si los robots de spam pueden "perder el tiempo". es decir, ¿por qué se molestaría un escritor de bots para codificar 404 cuando simplemente bombardean la web de todos modos?

401 ¿No autorizado?

Bloquear una IP incorrecta no es lo mismo que "el recurso requiere autenticación de usuario 1) que aún no se ha proporcionado o 2) que se ha proporcionado pero falló las pruebas de autorización"

En general, siento que 'responder a los bots malos de acuerdo con el protocolo http adecuado' les da a los malos la ventaja. En el sentido de que sigo las reglas mientras que ellas no (un poco como Gran Bretaña en la UE, ja, ja). Algunos días siento que debería hacer algo inteligente para desviar estos bots. En otros días, creo que no debería tomarlo como algo personal e ignorarlos. Aceptarlo como parte del curso de funcionamiento de un sitio web.

No sé, ¿cuáles son tus pensamientos? ¿Cómo respondes cuando sabes que es una mala IP?

security JW01
fuente

Personalmente, me gustaría devolver un rayo, pero aún no he descubierto cómo hacerlo por Internet.

el Hombre de hojalata

Hace unos años, observé en un sitio web francés de PR7 abierto a comentarios que si no eliminamos los 3-4 nuevos comentarios de spam en las primeras 36H, el spammer envió 100-300 comentarios más. Entonces enviaron una sonda, verificaron que sería un buen objetivo y luego enviaron el ataque real. Hubo numerosos IP involucrados en aquel entonces. ¿Cómo funcionan tus atacantes?

FelipeAls

Siento que solo hay un máximo de 2 o 3 organizaciones detrás del 99% de los ataques de spam. No parecen investigar porque ninguna de sus miles de presentaciones se ha publicado en mi sitio. Todo es una situación bastante inútil: pasan su tiempo sin lograr nada, yo paso el tiempo eliminando el spam.

JW01

Devolución '402 Pago requerido' :)

keppla

Respuestas:

Si desea jugar según las reglas, 403 Prohibido o 403.6 Dirección IP rechazada (específica de IIS) sería la respuesta correcta.

Dar una respuesta 200 (e ignorar el comentario) puede aumentar la carga en el servidor, ya que presumiblemente el bot de spam continuará enviando spam en futuras ocasiones, sin saber que no tiene ningún efecto. Una respuesta de 4XX al menos dice "vete, debes verificar tus hechos" y es probable que disminuya los intentos futuros.

En el improbable caso de que tenga acceso al firewall, un bloque de direcciones IP en la lista negra en el firewall minimizaría la carga del servidor / parecería que su servidor no existía para el spammer.

Iba a sugerir usar un redireccionamiento temporal 302 a la propia dirección IP del spammer, pero esto probablemente no tendría ningún efecto ya que no habría razón para que el bot siguiera la redirección.

Si se trata de spam enviado manualmente, hacer que el spam solo sea visible por la dirección IP que lo envió es una buena táctica. El spammer se va contento y contento (y no varía su enfoque para evitar sus defensas), y los otros usuarios nunca ven el spam.

MZB
fuente

Gracias. Nunca había oído hablar del Estado 403.6. Con respecto a redirigir de nuevo a su IP: Sí, consideré sostener un espejo para que todo lo que nos arrojaron fuera devuelto a ellos ... pero luego me di cuenta de que duplicar el mal tráfico no era una idea brillante. 403, entonces, es probablemente el camino sensato.

JW01

Me gusta 403, o 404, que se inclina hacia 404. 403 podría alentarlos a probar diferentes tácticas. 404 implica que la página simplemente no está allí y es una URL incorrecta. He escrito muchas arañas para trabajos pasados, y rara vez vi 403, pero me encontré con muchos 404. De cualquier manera, mi código eliminaría la URL de la cola, pero eso es porque estaba tratando de jugar limpio. También estoy pensando que hacer una redirección permanente a 127.0.0.1 podría ser mejor que a su propia IP, aunque no he jugado con ella. Para mal, no podemos redirigirlos a un verdadero agujero negro.

The Tin Man

jaja. Acabo de releer mi primer comentario "Gracias. Nunca había oído hablar del Estado 403.6". - Creo que es una de las cosas más geek que he dicho.

JW01

Re firewall: no entiendo por qué las empresas de hosting no solo ofrecen eso como parte del paquete estándar.

JW01

@ JW01: en máquinas dedicadas o virtuales lo es. No puede ser parte de un host compartido, ya que afectaría a los otros usuarios. Si tiene acceso de root, ajústelo.

d -_- b

No sé si es una mala práctica, pero configuraría el servidor para que no envíe ninguna respuesta.

Andrzej Bobak
fuente

Esto no es realista, dada la mayoría de la arquitectura del servidor. Los enrutadores y otras cosas mantienen abiertas las solicitudes hasta que se envía una respuesta, por lo que enviar "sin respuesta" crea problemas en la capa de arquitectura del servidor que no desea.

Jason FB