私はいつものように名前を付けませんが、物語はそのようなものを示しています。 例として、サーバーを「保護」しない方法。 ええ、あなたは彼らに言った、あなたは言う-しかし、すべて役に立たない。
私は先日、ある商業プロジェクトの「監査」をしなければなりませんでした...まあ、彼らは本当に尋ねました。
サイトのトラフィックは減少しましたが、それほど多くはありませんが、かなり顕著です。 ログ、検索エンジンの分析などを見ました。 など すべてが正常であるように思われ、誰が来てもすぐには出ません。
しかし、私は回りませんが、IPによって禁止ログを分析すると、1つの規則性が見つかりました-すぐに、膨大な数のIPアドレスが禁止になりました。 1つの理由で例外なくすべて-伝えられるところではボットサーチとして。 過去1か月間に取引されたログもそのサイズによって恐ろしくなっており、そこを調べる必要すらなかったため、すべてが明らかです。 つまり 次のことが起こりました。多くの顧客がサイトにアクセスできませんでした。
「彼らは約1か月前に何かを変えましたか?」という質問に対して、否定的な回答が寄せられました。
ここでは、油絵という短い検索の後、探偵フィクションで退屈しません。 このサイトの直接の競合他社は、顧客の「漏れ」に貢献したか、この「奇妙な不参加」を組織しました。
「攻撃」シナリオの説明:
- 人気のあるサイト「mysite」では、アクセスによるスキャンボットのブロックを有効にしています。
- 別の、おそらく比較的人気のあるサイト「othersite」(たとえば、同じターゲットオーディエンスを持つ「mysite」の直接の競合他社)、何らかの方法でページに非表示のインクルードを作成しますこのロックを探しているフィルターに一致するmysiteアドレス。
- 潜在的な顧客が最初に「othersite」ページにアクセスすると、「mysite」Webサイトにアクセスできなくなることが実質的に保証されます。 つまり 「othersite」ページのどこかをN回クリックすることにより、ユーザーのブラウザは「mysite」サイトへのN * 3「失敗」呼び出しを行い、このユーザーのIPを(maxretryに到達すると)ブロックします。
- その結果、このクライアントはmysiteサイトを利用できなくなります(IPアドレスは禁止されています)
ちなみに、ここでのブロックはaccess_logではなく、サーバーの負荷が高いため、Webサーバーから直接実行されました。 nginxの言語では、404などを処理する場所で、URLによる特定の正規表現によるフィルタリングの後、バックプロセッサがIPアドレスでブロッキングサービスに通知するポストプロセッサーがスタックしました。 まあ、nginx-botsearchフィルターfail2banのようですが、退屈なログの分割(多くの場合非常に高価です)はありません。
ただし、たとえば、「 nginx-botsearch 」、「 apache-botsearch 」などのフィルターを使用してfail2banのいくつかのjailをアクティブ化するなど、同じ方法で自分自身を撃つことができます。ボットからの「保護」のためのインターネット上のシャトルの数。 たとえば、 別のこのようなフィルタは、fail2banでプール要求を待機しています。 そして、さらに数百とそれらの説明があります。
しかし、攻撃そのものに戻りましょう。 注目すべきは、おそらくこれらの悪人が恐らく競合他社のWebサイトをハッキングするためにブラックハットの1つを雇ったことです(まあ、彼ら自身はこれに来ていません)。 おそらく、顧客ベースが必要であったか、より優れたDDoSの方法を探していたのに、他に何がわからないのでしょう。 愚か者からそのような「保護」を発見した人たちは、おそらく「競合他社を排除する」ための簡単な機会として、すでにいくつかのURLを販売しているか、自分自身を含めています。 いずれにせよ、そのような慣行がまだ大規模に採用されていない可能性はゼロとは異なります。
投機-投機、しかし「攻撃」とある種の損害の事実は明らかです。
したがって、注意して頭をオンにしてください。 さて、または友人の再販業者に電話して...