Tengo algunos registros HTTP donde veo al hacker cambiando su IP cada solicitud y ocasionalmente cambiando su agente de usuario.
¿Hay una manera de detectar esto automáticamente? Tal vez una regla de resoplido? o de otra manera?
Muchos sitios web vinculan el ID de sesión a la dirección IP, por lo que un ID válido de sesión asociado a la dirección IP se considerará como no válido si se presenta con otra dirección IP.
Un enfoque más permisivo podría ser, en lugar de bloquear dicho acceso para simplemente registrarlos y, si es necesario, enviar una advertencia a las personas correspondientes.
Tenga en cuenta que algunas herramientas de protección de la privacidad rotan la dirección IP utilizada (por ejemplo, cambiando automáticamente de un proxy a cada n segundos) y el agente de usuario del buscador de mascaradas mientras mantiene las cookies y la información de la sesión para permitir la normalidad hojeada. Dicha herramienta producirá exactamente el comportamiento que usted describe, aunque no necesariamente se usará con intenciones maliciosas.
La medida indicada en el primer párrafo evitará que las personas utilicen dicha herramienta para acceder a sus servicios. Depende de usted, según su política, decidir qué actitud adoptar en tales circunstancias: bloquear, advertir o simplemente iniciar sesión.
Lea otras preguntas en las etiquetas http log-analysis snort