Ho alcuni log HTTP in cui vedo che l'hacker modifica il suo IP ogni richiesta e occasionalmente modifica il suo useragent.
C'è un modo per rilevarlo automaticamente? Forse una regola da sballo? o in altro modo?
Molti siti web legano l'ID di sessione all'indirizzo IP, quindi un ID valido per la sessione valido associato all'indirizzo IP verrà considerato non valido se presentato da un altro indirizzo IP.
Potrebbe essere un approccio più permissivo, invece di bloccare tale accesso per semplicemente registrarli e, se necessario, inviare un avvertimento alle persone appropriate.
Si noti che alcuni strumenti di protezione della privacy ruotano l'indirizzo IP utilizzato (passaggio automatico da un proxy a ciascun n secondi per esempio) e l'agente utente del browser maskerade mantenendo i cookie e le informazioni di sessione per consentire il normale la navigazione. Tale strumento produrrà esattamente il comportamento che descrivi pur non essendo necessariamente utilizzato con intenzioni malevole.
La misura indicata nel primo paragrafo impedirà alle persone che utilizzano tale strumento di accedere ai tuoi servizi. Spetta a te, in base alla tua politica, decidere quale atteggiamento adottare in tali circostanze: blocco, avviso o semplicemente registro.
Leggi altre domande sui tag http log-analysis snort