Es peligroso descartar una solicitud por no ser interesante en función de algo con una resolución tan baja como un código de respuesta. Una respuesta 200 en / admin / desde una dirección IP desconocida es interesante .
Además de los códigos que figuran como interesantes, 400 respuestas pueden ser interesantes (están causadas por Slowloris , por ejemplo) y también son causados por los atacantes que elaboran manualmente las solicitudes HTTP y hacen que el protocolo sea incorrecto.)
Las respuestas
401 pueden ser interesantes ya que se generan mediante la autenticación HTTP (a menudo llamada autenticación htaccess). Muchos de estos pueden indicar un ataque de fuerza bruta.
De hecho, diría que todo en el rango 400 es interesante. Aquí puede encontrar una lista completa de códigos de respuesta.
Pero lo que preguntaste sobre cuáles son no interesantes. Para esto, sugeriría tentativamente el rango completo de 300 con la advertencia de que cualquier cosa inusual es interesante. En la práctica, esto significa que 301, 302 y 304 probablemente no sean interesantes. Las respuestas a 302 son a menudo el resultado de los envíos de formularios y serán provocadas en gran medida por los spammers de comentarios, por lo que considerarlo interesante o no es una decisión individual.
La palabra clave inusual es probablemente más útil aquí que cualquier lista de códigos de respuesta en particular. Esto se aplica a cada campo en los registros. Los métodos de solicitud inusuales como PUT o CONNECT son muy interesantes, incluso si devuelven uno de los códigos de respuesta no interesantes.
Una vez que haya encontrado una solicitud inusual que justifique una investigación adicional, lo siguiente que debe hacer es tomar todas las solicitudes que realizó la misma dirección IP, incluso si normalmente las ignoraría por no ser interesantes debido a sus códigos de respuesta.
Una serie de 401 seguidos por 200 podría indicar que el atacante finalmente adivinó la contraseña correctamente y obtuvo la página de administración. Si ignora las 200 respuestas, podría suponer que fue un ataque de fuerza bruta sin éxito.
Después de ver un ataque exitoso como el anterior, te interesarían las URL de cada solicitud, la misma dirección IP en lugar de los códigos de respuesta.