DIY IPブロックリスト

最近、私はサイトのセキュリティに関する記事を投稿しました。特に、captchaの問題と大きな質問です。それを取り除くこととその方法は可能ですか。



議論は活発で非常に生産的でした。 よくあることですが、ユーザーのコメントを分析した結果、記事に記載されている非常に広範な問題に気が変わりました。



ここで、以前に扱ったトピックを要約し、それを開発するためにとる次のステップを表明したいと思います。 これらは、IPアドレスの独自のブラックリストの作成に関連しています。 いつものように、私は何も断言せず、選択肢を提供するだけです。

間違いの分析

そして、1つの間違いがありますが、非常に重要です。 突然、そのようなロボットを作る理論的であるだけでなく、人と区別することが不可能または困難である実用的な機会があることが判明しました。 このようなロボットは、JSクライアントコードをアップロードし、サイト上の任意のボタンをクリックできます。 私は実際にそのような動物と出会ったことがないので、動物がまったく存在しないかどうかはわかりませんが、控えめに言って、自分自身（私のサイト）でそれらの効果を体験したかったのです。 分析された記事の公開後、匿名ではあるが間違いなく親切な人々が私にそのような機会を与えてくれました。 完全にテスト済みで、失敗しました。



これらのロボットに会った後、私は何を結論づけることができますか？ すべてが良いとか悪いとは言えません。 すべてがスパマーの動機とスパムされているサイトの価値に依存していることを明確に言った人たちは正しかった。 サイトに時間を費やすことが残念でなく、これに関連してスパマーのリソース（時間、お金、欲求）がほぼ無限にある場合、キャプチャなしでそのようなスパムに対処することは不可能または非常に不利です。 どういう意味ですか？



攻撃は私のサイトに行きました。 js関数の名前を変更しました。これは、送信ボタンをクリックすることで実行され、カットオフとして攻撃が停止しました。 これは、ロボットが名前でスクリプトを実行するようにプログラムされているために起こりますか？ できた。 それから他の何かのために再プログラムできますか？ たとえば、ボタンを検索して解析しますか？ はい、できます。 次に、このロボットと戦うために、私はますます多くのものを閉じ、ボタンを隠し、より面倒なトリックをしなければなりませんが、それでも克服できます。 これは、一方では悲しいことですが、一方で、ユーザーの費用はかかりますが、私の側ではクールで不可解なキャプチャを入れて、質問を確実に終了する方がはるかに簡単です。



しかし、注意してください、ロボットは再プログラムされていません！ これは、「スパムコレクター」にスパムを送ることは有益ではないことを意味します。 これは、攻撃されているサイトがこれに十分な価値を持たなければならないという主張を明確に確認しました。



結論1 。 人気を集めているサイトに非常に複雑な防御策を講じても意味がありません。 記事で説明した「 ajaxボタン 」メソッドを使用するか、コメントで提案されたメソッドから他の同様のメソッドを使用することをお勧めします。 そのようなアプローチは、少なくともこれらのユーザーを怖がらせることはなく、コンバージョンへのブレーキにはなりません。 そして、複雑な攻撃が始まったときだけ、スパマーの動機を分析する必要があります。したがって、私が見る最後の方法は、視覚障害者（私のような）キャプチャにとっては複雑で不親切です。



結論2 。 私の " let me in "メソッドはほとんど役に立たないことが判明しました。 機能を失うことなく、はるかに小さく安価な手段で同じ機能を実装できます。



結論3 。 Yandexが「検索語選択」ツールですべてのデータ要求にキャプチャを付ける理由を理解しました！ 私はこのキャプチャについて彼を攻撃し、実質的に謝罪しなければなりません（仮想的にも気分を害したので）。



説明したスパムコレクターに対する仮想ブラウザ攻撃について、他に何を言いたいですか？ 何かがあり、それはすでに「 良いニュース 」のカテゴリからのものです。 事実は、すべての要求が異なるIPアドレスから送信されたものであり、それらはすべて不良だったということです！ " bad "はどういう意味ですか？ これらは私のサイトにすでに表示されていて、疑わしいまたは危険なものとしてマークされたアドレスでした。お気に入りのサイトwww.projecthoneypot.orgで他の人を選択してチェックしました。



結論4 。 IPアドレスを危険または疑わしいものとしてマークすると、スパムとの闘いに役立ちます。 このデータを無料または金銭で提供するサービスがあります。 無料の情報はサイズが限られているため、だれも節約できませんが、有料の情報は大きなメリットをもたらす可能性があります。 さまざまな理由で、この種のサービスにお金をかけたくない人は、自分でこのサービスを実装することを提案される可能性があります。 それが私が考え続けたいことです。

このサービスはどのサイトに役立ちますか？

• 一般的に、皆のために。 このようなサービスにより、サイトの所有者はそこで行われていることに遅れずについていくことができます。 単に順序を維持することは常に有用です。 私の経験に基づいて、この結論を導き出します。 URIとIPアカウンティングは、サイトのセットアップに繰り返し役立ちました。
• 非常に有用なオンラインサービスを持ち、所有者が懸念しているサイトの場合、一方ではこのサービスへのユーザーアクセスの速度に、他方ではサーバー負荷の減少に関係しています。
• スパムされているサイトの場合、これが問題になり始めています。
• そのような統計を収集しようと非常に動機付けられているプログラマーやサイト所有者にとっては、彼ら自身が動機を説明することが難しいと感じることがあります。 そのようなプログラマーに私は自分自身を帰することができます。

ラベル付きIPアドレスをどうしますか？

有害な活動で特定されたIPアドレスは、権利を侵害される可能性があります。 たとえば、フォームに入力するときにキャプチャを与えることができます。 高い確率で-これは人ではありません。 これらのIPからの投稿はモデレートのために送信でき、モデレーション自体は「最後」に延期できます。 モデレートする際に、クライアントのアドレスをスパマーとしてマークするリンクを提供します。 受け取ったコメントについて、サイト管理者への通知書に直接クライアントのメモへのワンタイムリンクを送信することができます。



不正なIPアドレスからの呼び出しは処理できず、通常に戻されず、正しいアドレスにリダイレクトされないため、サイトの速度が大幅に向上する可能性があります。

最後のステートメントを例で説明します。 長年のサイト。 これは記事サイトです。 昔、サイトの所有者はいくつかの記事が特定のリソースに具体的に投稿されていました。 一連の資料全体が引き離され、主要な場所への参照がそれらに与えられました。 それ以来、これらの記事はこれらのリソースにかかっています。これらのリソースの所有者に同意することは不可能であり、これらの記事へのリンクは変更されています。 そして同時に、これらのアドレスでサイトに定期的にアクセスしており、それらを分析してリダイレクトする必要があります。 しかし、かつて、リダイレクトしなければならない人々を分析すると、サイトが人々のために完全に機能しないという非常に合理的な疑いが生じました。 多くの訪問者はロボットです。 そして、それはそのようなロボットである可能性があり、それは概して、常に自分自身を入れたいとは限らない。 ここでIPアドレスをマークすることも非常に役立ちます。 結局、アドレスを「悪い」および「疑わしい」だけでなく、「望ましいボット」、「望ましくないボット」などとしてマークすることができます。

IPアドレスのベースは無料で共有でき、このアクティビティからビジネスを行うこともできます。

IPアドレスをどの基準でマークする必要がありますか？

私がさらに書くことはすべて私の個人的な経験に基づいており、後者は結局のところそれほど普遍的ではありません。 これは、実験サイトの機能によるものです。 しかし、興味のある読者が「 インスピレーションの源 」として提示されたアイデアを使用できることを願っています。

サイトで使用されていない特定のエンジンの重要なファイルを要求する

たとえば、自分のサイトでWordPressエンジンを使用していませんが、このエンジンの構成ファイルまたは管理者のログインページを読み取る要求を受け取ります。

「 /../../../ .. 」などのサーバーのシステムフォルダーまたは「 passwd 」などのファイルへのリクエスト

以下は、不良IPを検出するための実際の値のリストです。 これは非常に小さなリストですが、かなりうまく機能します。

$patterns = array( '#/wp-#', '#/browser#', '#/includ#', '#/engin#', '#admin#i', '#system#', '#/bitrix#', '#/cat_newuser#', //  ,   5   (8) '#/forum#', '#/common#', '#/plugins#', '#\.mdb/?#', '#\.aspx?/?#', '#^/BingSiteAuth#', '#passwd#', );
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

CGIスクリプトへのリクエスト（使用されていない場合）

残念ながら、そのようなリクエストは.htaccessを使用してキャッチされず（それらをキャッチする方法はまだわかりません）、仮想ホストを編集するアクセス権がない可能性があります。 ただし、これらの要求はエラーログに含まれ、これらのファイルにアクセスしたIPアドレスはそこから取得できます。

サイトの再編成中またはその他の理由で使用されていないページの要求

これは、私が偶然に最初に使用した興味深いトリックです。次に、結果を観察した後、意図的に使用することは興味深いと思いました。 登録ページがあるとします。 なんといっても呼ばれます。 彼女をUri、たとえば「/ reg-new-user /」とします。 そして今、ロボットはこのページを使い始めました。 「ajaxボタン」などの保護がなかった場合は登録を試みるか、実際の登録と比較してページの呼び出しが多すぎます。 次に、このページのURIを変更し、古いものから新しいものにリダイレクトしません。 そして、古いものへの要求はどんどん行き続けています。 そして何年も行きます。 このように振り返ると、彼らは約8年間続いています。 論理的には、このアドレスの前に破損したすべてのIPは、すぐに危険としてフラグが付けられます。 有害なロボットのtrapが判明しました。 ちなみに、Bing検索エンジンロボットはこれらの種類のアドレスにも侵入します。 さらに、これは偽のロボットではなく、実際のロボットです。 彼がこれらをスキャンしてこれらのアドレスを受信するのは驚くべきことですか？ たぶん、彼は秘密のハッカーフォーラムをクロールしてインデックスを作成しますか？ 良い質問ですが、残念ながら私はその答えを知りません。

フォーム送信データ分析の結果に基づくIPトラップ

このトラップを整理するには、クライアントスクリプトが入力されたフォームのフィールドが必要です。 つまり、実際のブラウザで作業している実際のユーザーは、フォームのボタンをクリックすることにより、特定のフィールドに完全に特定の値を入力するスクリプトを作成します。 フィールドの名前はロボットが理解できないものである必要があり、値はエンコードされており、1回限りである必要があります。 このような値は、特定のアルゴリズムに従って処理されたタイムスタンプから生成できます。 その後、ロボットはフィールドに入力しないか、予期された間違った値を入力します。 このフィールドに予期しない値が存在すると、すぐにIPが危険であるとマークされます。 「 let me in」というコードネームの前の記事で説明した方法は、このようなトラップとして機能します。

特に明確にする必要があります。 この方法は、仮想jsブラウザーでは機能しません。これは、ページに自動的にアクセスしてスパムを送信するためにも使用できます。

特別なトラップ

これは、ロボット専用に作成されたトラップを指します。 たとえば、ある時点でメッセージボードを作成しました。 このツールはそれ自体を正当化せず、無効にされました。 しかししばらくの間、彼は取締役会のカタログに参加し、長年にわたって働いている広く忠実な「顧客」を獲得しました。 お客様を怒らせないために、このツールを再びオンにして、ロボットの一種の寝台に変えました。 そこに行く人は誰でも人間ではない可能性が高く、スパムロボットとして安全にマークできます。

不自然なリクエスト

実用的というよりも理論的なマーキング方法に徐々にアプローチしました。 はい 明らかに、同じIPからさまざまなページへの短い一連のリクエストが高速（1秒あたり数個まで）で発生します。 このようなシリーズは、サーバーに大きな負荷をかけます。 有害なロボットとボット、スパイダーの両方によって生成される可能性がありますが、その有用性はまだ明らかにされていません。 このような奇妙なボットは、エージェントで自分自身をマークし、実際にあなたのサイトでセレモニーを実行しません。 ごく最近、「 ahrefs 」という名前で自分自身にタグを付けたロボットがフィルターで製品検索URLを探り出し 、かなり大きなオンラインストアの活動を1日間停止したという現実の状況を目撃しました。 また、ロボットが.htaccessを介して無効化されていなければ、おそらく停止することはなかったでしょう。



しかし、このような不自然な要求を最も低いコストでどのようにキャッチするのでしょうか？ アクセスログを表示した結果に基づいて、手動でタグ付けとブロック以外のことを考えたことがありませんでした。 良いサイトのログは数十メガバイトに達する可能性があるため、この質問は空想の領域にも入ります。 最悪の部分は、URLが実際にリクエストされ、誠実に機能し、悪いuriログに分類されないことです。 残っているのは、ユーザーエージェントのIPタグ出力のみです。 このメソッドを別の段落に移動します。

クライアントエージェントヘッダーのコンテンツによるIPのラベル付け

HTTP_USER_AGENT- 不良クライアントをキャッチするときにナビゲートするのが難しいヘッダー。 このヘッダーを使用して、目的の検索エンジンのボットなど、 優秀なクライアントをマークする方がはるかに簡単です。 しかし、偽物の場合があります。 いずれの場合でも、検索エンジンロボットのIPアドレスを一度にすべて手動モードでマークすることをお勧めします。 whois情報を使用して、そのようなIPのプールをデータベースに挿入できます。 この場合、グーグルボットエージェントを使用しているクライアントのすべてのIPアドレス（Google以外のエージェント）は、危険として安全にフラグを立てることができます。



本当の、しかし望ましくない、または理解できないボットの場合。 つまり、ある種の事故を分析した結果、アクセスログを分析した結果、または何らかの形でエージェントに名前を持つボットを発見したということです。 サイトでのこのようなボットの動作に応じて、すべてのIPを自動モードまたは手動モードでマークします。 たとえば、いくつかのページへのアクセスをまったく拒否できます。 私の意見では、洗練されたフィルターによる店舗カタログの製品検索ページでは、単一のロボットではありません。



HTTP_USER_AGENTヘッダーをまったく持たないすべてのクライアントのIPをマークするという考え方がまだあります。 単純で正直なユーザーがこのヘッダーを削除したり、何らかの方法で操作したりすることはほとんどありません。 ただし、クライアント側で文盲の設定や技術的な障害が発生する可能性があります。 そのため、私自身はIPをマークせず、IPを欠落しているユーザーエージェントでマークする予定もありません。 しかし、結局のところ、どういうわけか彼らに注意を払うことを考えています。

しかし、私の練習でエージェントを介してシェルを植える試みの例がありましたか？ はい！ かつて、シェルを植え直すためのコードを持つエージェントがいました。 しかし、これもまた、これが通常のIPアドレスから特定の個人によって実験として行われた可能性が高いです。 そして、奇妙な内容のエージェントがいました。 たとえば、「 （）{：;}; echo Content-type：text / plain; echo; echo; echo M`expr 1330 + 7`H; / bin / uname -a; echo @ "。 しかし、それが何であり、どのように使用するかを言うのは難しいです。

他のヘッダーの内容によるロボットの定義

ロボットのHTTP_REFERERは通常合成です。 存在しないか、要求されたURIと一致する場合があります。 一般に、この見出しを分析することは困難ですが、サイトが営業を開始するときに、サイトに条件がある場合があります。 たとえば、フォームを含むページを最初に入力したとき、すべてのパラメーター配列が空で、 HTTP_REFERERがページuriと等しい場合、リロードされたかのように見えます 。

通常、仮想js-browserには通常のヘッダーがありますが、これには問題はありません。 彼らはおそらく、見出しから人々と区別できません。

PHP拡張機能を使用してスクリプトを呼び出す

拡張機能を完全に100％回避することは便利なようです。 次に、PHP拡張機能を備えたページのリクエストにより、ロボットの到着について通知されますが、これはおそらく不要なロボットです。

必要に応じて、最後のスラッシュのないリクエストを含む、歪んだまたは不完全なリクエスト

スラッシュが欠落している場合は、301番目のリダイレクトを単に追加して実行するのが一般的です。 このエラーでクライアントにタグ付けする価値はありますか？ 私の意見では、もしそうなら、それはサイト管理者の裁量で個々のページのためだけです。 たとえば、バックスラッシュなしでajaxバックエンドページを呼び出すことは非常に疑わしいようです。



しかし、ダブルスラッシュが含まれる実際に歪んだ要求があります。 彼と一緒に、私は長い間何をすべきか考えました。 そして最終的に、彼はそれらを修正せず、リダイレクトしないことに決めました。 これは人間にはなりそうにないようです。 または、そのようなリクエストに対して、アドレスバーの二重スラッシュを確認して修正する提案を含む特別なページ404を発行できます。



たとえば、「 / some-category / article / 12345 / 」ではなく「 / some-category / arti 」のように半分で構成される未完成のクエリがあります。 残念ながら、「良い」ボットもこの問題を犯します。そのため、そのようなクライアントを「疑わしい」とマークした場合、手動モードでのみです。



2番目のレベルの1つのドメインと3番目のレベルの多数の関連ドメインの所有者として、ロボットの動作の興味深い特徴に気付きました。 第3レベルの1つのドメインで特定のURIを満たしている場合、すべてのサブドメインに自動的に適用されます。 そのようなクライアントは、すぐにフラグを立てられると思います。 人がすべてのサブドメインを手動でuriに置き換えることはほとんどありません。 そして、そのような行動の動機は非常に明白です。

スクリプト名がURLデコードされたリクエスト

スクリプトが完全または部分的にURLデコードされて呼び出された場合、これは非常に疑わしく、明確に良い目標を目指していません。 このような場合、クライアントをすぐに危険としてマークできます。 私の練習ではそのようなケースはありませんでした。

アクセス方法の不一致

サイトでは、通常、スクリプトへのアクセス方法を厳密に定義する必要がある場合があります。 たとえば、POSTメソッドによって渡されたパラメーターが予期されるときに、GETメソッドを使用してフォームを処理するスクリプトを呼び出すことは、人為的なエラーにはなりません。 または、GETメソッドを使用してajaxバックエンドを呼び出します。



ケースは疑わしいですが、実際に会ったことはありません。

直接のバックエンドajax呼び出し

一番下の行は、他のスクリプトが呼び出すスクリプトがサイト上にあり、ブラウザのアドレスバーにこのスクリプトのアドレスを入力することでユーザーが呼び出さないことです。 このメソッドをキャッチするには、ajaxバックエンドスクリプトを分離する必要があります。 たくさんのパラメーターを持つindex.phpファイルであってはなりません。 残念ながら、個々のajaxバックエンドスクリプトは常にどこからでもあるとは限りません。 このアプローチを実装し、説明したケースをキャッチしましたが、単一のイベントをキャッチしていません。

クエリ、パラメーターを介したインジェクションおよびファイルのオープンと同様

CNC（SEOリンク）への移行、または単にページパラメータを隠すためのURL書き換えにより、これらの攻撃はエキゾチックになりました。 URL「 some-site.com/12345/ 」では、「 12345 」の代わりにインジェクトして正気なものを取得する可能性はほとんどありません。 おそらくそれが、そのような実験の頻度が減ってきている理由です。 さらに、3gモデムなどの実際のIPアドレスとは別の、しかし実際の個人が、私の練習でそのようなことをしました。 したがって、大きな問題はそれらにタグを付けるかどうかです。 ちなみに、ほんの3年前のように、モバイルネットワークのIPアドレスが非常に危険にさらされていました（今はわかりません）。 仕事が大変でした。 ヨタとMTSのネットワークに苦しんでいた。



疑わしい単語や文字のページパラメータのPOST分析を実装しようとしましたが、最終的にそれを放棄しました。 このような分析は複雑になりすぎているため、リソースを大量に消費します。 その結果、パラメータ内の疑わしい単語のリストを引用符だけに減らしましたが、これはすでに逸話のように思えました。 さらに、ページパラメーターは引き続きフィルター処理され、分析のための危険な引用符と安全な引用符を区別することは困難です。

パフォーマンスの問題

顧客には細心の注意を払ってアプローチする必要があります。 クエリ分析の追求では、分散することはできませんが、サイトを完全に凍結します。 私は分析を行いますが、「 bad uri 」、つまり単一の実際のページを構成せず、表示できないものの場合にのみ行います。 つまり、クライアント分析はページ404の出力に不可欠な部分です。それでも、サーバーに負荷をかけすぎないようにしています。 特に配列で収集され、ループで適用される場合、通常のクエリを使用する場合は、最も単純で最速のクエリを優先する必要があります。 データベースにアクセスするときは、1つのクエリですべての操作を実行してください。 さて、コード最適化の他の可能な方法。 操作を十分に高速化できない場合は、手動で表示できるようにします。

クライアントIPアドレスがマークされているだけでなく、ブロックされている場合

それとは別に、ブロッキングのためのIPクライアントのチェックに注意したいと思います。 このようなチェックは、ユーザーのすべてのリクエストで発生します。



ブロックされたIPアドレスをチェックする場合、数千のアドレスを持つ共通テーブルでアドレスを探すのではなく、1つのブロックされたIPだけに別のラベルを付けて検索する方がよいでしょう。 MySQLクエリの検索速度は、レコードの数に大きく依存します。 データベースを検索するときは、そのようなクエリを作成して、インデックスを使用するデータではなく、インデックスのみを使用して検索が行われるようにしてください。



データベースにまったくないブロックされたIPを探すこともできます。 ブロックされたIPアドレスのシリアル化された配列を使用して、ディスク上にファイルを作成するというアイデアがあります。 次に、各スクリプトはファイルを読み取り、シリアル化された文字列を配列に変換して処理します。 このようなアクセス方法は、データベースにアクセスして検索するよりも高速であるという疑いがあります。 しかし、これは確認する必要があります。私のサイトでは、中程度のアクティビティがあるため、これはそれほど重要ではありません。

蓄積された不良URIおよびタグ付きIPのリスト

蓄積された悪いuriを表示するプログラミング専用のサービスをWebサイトで作成しました。 これは実際には管理パネルの一部ですが、表示できます。 使用する際に留意する必要があるもの。

• テーブルでは、ドメインごとにURIが考慮されます
• 毎日、テーブルには100〜300エントリが補充されます。 基盤は非常に急速に成長しており、私はそれをきれいにしなければなりません。 私はお互いに似ているいくつかのウリをカットし、いわゆるピボットテーブルに移します。 この場合、このURIが引き起こしたクライアントに関する情報は失われます。 しかし、個人的には、これらのURIはまったく必要ありません。 最初は、それらを見て削除しました。 それから彼は、興味を持ちそうな人を見せるためだけに保管を始めました。 悪いuriの実際的な利点は、私にはあまり明確ではありません。
  
  
  
  uriを減らすプロセスは次のようなものです。たとえば、頻繁に「 / some-page / 12345 / 」という形式のuriがあります。「 12345 」は可変部分です。 その後、そのようなすべてのUriは、それらの多くが存在する可能性があり、「 / some-page / ### / 」に縮小されます 。 数字ではなく文字が変わる場合、省略されたuriは「 / some-page / ABCD /」または「 / some-page / _any_trifle_ / 」のように見える場合があります。
• サービスは継続的な開発中です。 少し遅れて、1週間以内に、マークされたIPアドレスを無料で配布（ダウンロード）する予定です。
• サービスに欠陥があります。 そのため、たとえば、IPの最後の悪いイベントの瞬間は記憶されていません。 これは非常に重大な欠点であり、最後の悪いイベントの遠隔性によってIP危険マークを削除することはできません。 また、カスタムIP手動タグ付けのサービスは実装されていません。
• 現在、不良uriログと概要ログのみがアップロードされます。 サービスを改善します。

サービスに示されている悪いuriのために私のサイトに行かないでください！ この場合、IPは不良とマークされる場合があります。 サービスが機能していることを確認する場合は、 / adfsadf /など、存在しない中立のURIを入力します。 その後、IPがリストされますが、不良としてマークされません。