C'è qualcosa di simile a DNSBL per la protezione contro la navigazione forzata?

Seleziona alcune famose cartelle non esistenti sul tuo server e installa i tarpits . Dì ai tuoi amici di fare lo stesso.

Modifica: aiuta a rallentare i robot che eseguono la scansione, quindi avrai molto tempo libero indipendentemente da quanti ti stanno scansionando. Per quanto riguarda cosa è e come farlo: Google mantiene un elenco di collegamenti regolarmente aggiornato all'indirizzo sopra indicato.

Stai pensando a questo nel modo sbagliato. La navigazione forzata è una vulnerabilità nell'applicazione . Prevenire i browing forzati richiede che l'applicazione web sia codificata correttamente. Se l'applicazione Web presenta una vulnerabilità di navigazione forzata, non è probabile che sia possibile correggerla con la configurazione di Apache.

Fondamentalmente, la navigazione forzata non è correlata alla configurazione errata di Apache; è legato allo sviluppo di software difettoso. Le persone che sono responsabili di evitare questo problema sono gli sviluppatori di software, non gli operatori di rete.

P.S. Una lista DNSBL o simile sarà inutile per difendersi dalle vulnerabili vulnerabilità di navigazione.

Sembra che tu voglia un Web Application Firewall (WAF). Da OWASP "Un firewall per applicazioni Web (WAF) è un'appliance, un plug-in del server o un filtro che applica un set di regole per una conversazione HTTP. " Ad esempio, potrebbe avere una regola che limita le richieste da un IP dopo 3 errori 404 sucessivi in un minuto. Il collegamento OWASP consiglia anche i criteri di selezione per la scelta di un WAF. Esistono applicazioni software non commerciali e commerciali e hardware di rete che riempie il ruolo del firewall dell'applicazione Web.

Una ricerca in corsivo rivela:

IronBee

ModSecurity

dotDefender

openWAF

BinarySec

Per rispondere alla tua domanda sul miglioramento delle prestazioni, c'è una risposta molto semplice: inserisci la lista nera delle query più comuni che stai danneggiando il tuo rendimento.

Afferra i file di log per circa un mese. Raccogli le richieste di attacco più comuni. Funzionerà probabilmente come segue: grep per le richieste che restituiscono 404 Not Found, trovare tutti gli URL univoci, contare quante volte è stato effettuato l'accesso a ciascun URL univoco e ordinare. Prendi tutti gli URL inesistenti di accesso comune e inseriscili in una lista nera. Ora configura Apache per bloccare immediatamente tutti i tentativi di accesso a qualsiasi URL su quella lista nera.

Una versione leggermente più sofisticata di questo è di raccogliere le applicazioni più comunemente attaccate (come phpMyAdmin), in base ai tuoi registri. Per ognuno, controlla se hai una copia di tale applicazione distribuita legittimamente sul tuo sito. Se non lo fai, aggiungilo a una lista nera. Ora configura Apache per bloccare immediatamente tutti i tentativi di accesso a qualsiasi applicazione su quella lista nera. Questo potrebbe essere un po 'più ampio, ma potrebbe richiedere un po' più di lavoro per mettere insieme la lista nera per assicurarti di non bloccare inavvertitamente qualsiasi applicazione legittima sul tuo sito.

Per questo, non penso che tu abbia bisogno di una lista nera centralizzata. I tuoi registri devono disporre di tutte le informazioni necessarie per identificare gli URL / applicazioni più comunemente utilizzati.

Nota che questo approccio potrebbe migliorare performance ma è improbabile che possa migliorare in modo significativo sicurezza .

Solo buchi neri. Chiunque controlli / phpMyAdmin sul tuo server non sta giocando bene, e non è lì per usarlo realmente. Se qualcuno lo colpisce, o qualsiasi altra posizione di scansione comune, lasciateli per la prossima ora o giorno. Ora, questo può presentare qualche potenziale DOS, ma ciò richiederebbe un lavoro serio e sarebbe facilmente reversibile.

Trovo un grande valore nell'usare tentativi falliti di uccidere il probing possibile.