Distinguere tra forza bruta e crawler nella segnalazione degli errori

0

Recentemente ho ricevuto molte e-mail che segnalavano problemi all'interno del mio sito Web che, una volta tornati indietro e controllati, sono stati segnalati come attacchi di forza bruta. Dopo un'ulteriore ispezione della loro posizione. Ho notato che molti di loro provengono dallo stesso indirizzo IP e sembrano essere collegati a Google o Yahoo per esempio questo sito:

link

riporta il seguente IP: 104.199.203.53, che proviene da google cloud, come forza bruta.

Esiste un buon modo per distinguere tra apparenti attacchi brute force e crawler che controllano il sito?

Aggiornamento: tutte le email vengono generate dal sito di produzione. L'errore di segnalazione sta emettendo un'eccezione di riferimento null.

    
posta Joshua 01.03.2017 - 17:48
fonte

1 risposta

2

Il forzamento bruto di solito si applica all'invio di combinazioni utente / password all'endpoint di accesso. Quindi, quello che vedi in un attacco di forza bruta sono migliaia di richieste POST HTTP all'URL dietro cui si trova la tua logica di accesso.

La scansione ha un profilo completamente diverso. Un crawler colpirà il tuo sito Web in qualsiasi punto di ingresso, molto probabilmente nella home page del sito e inizierà a seguire i link da lì. I crawler benigni non inviano mai richieste POST; semplicemente OTTENGONO ogni pagina, guardano i collegamenti su quella pagina e in seguito OTTIENI le pagine collegate. Anche i crawler ben scritti onoreranno il file robots.txt, quindi se elenchi l'endpoint di accesso in robots.txt, i crawler non dovrebbero richiederlo. Inoltre, i crawler ben scritti seguono i limiti di velocità che suggerisci.

L'IP sorgente è del tutto irrilevante nel determinare se hai a che fare con un crawler o un attacco di forza bruta. Sia i crawler che gli attacchi di forza bruta possono provenire da un singolo IP o essere distribuiti su più o addirittura centinaia di IP diversi.

    
risposta data 01.03.2017 - 17:56
fonte

Leggi altre domande sui tag