¿Hay algo similar a DNSBL para protegerse contra la navegación forzada?

Seleccione algunas carpetas populares no existentes en su servidor e instale tarpits . Dile a tus amigos que hagan lo mismo.

Editar: ayuda al disminuir la velocidad de los bots que te escanean, por lo que tendrás un montón de tiempo de inactividad sin importar cuántos te estén escaneando. En cuanto a qué es y cómo hacerlo: Google mantiene una lista actualizada de enlaces en la dirección proporcionada anteriormente.

Estás pensando en esto de manera incorrecta. La navegación enérgica es una vulnerabilidad en la aplicación web . La prevención de browing forzado requiere que la aplicación web se codifique correctamente. Si la aplicación web tiene una vulnerabilidad de navegación contundente, es probable que no pueda solucionarlo con la configuración de Apache.

Básicamente, la navegación enérgica no está relacionada con la configuración defectuosa de Apache; Está relacionado con el desarrollo de software defectuoso. Las personas responsables de evitar este problema son los desarrolladores de software, no la gente de operaciones de red.

P.S. Un DNSBL o una lista similar será inútil para defenderse contra las vulnerabilidades de navegación forzada.

Parece que desea un Firewall de aplicación web (WAF). Desde OWASP "Un firewall de aplicación web (WAF) es un dispositivo, complemento de servidor o filtro que aplica un conjunto de reglas para una conversación HTTP ". Por ejemplo, podría tener una regla que limite las solicitudes de un IP después de 3 errores 404 sucesivos en un minuto. El enlace OWASP también recomienda criterios de selección para elegir un WAF. Existen aplicaciones de software comerciales y sin costo, así como hardware de red que cumple la función de Firewall de aplicaciones web.

Una búsqueda rápida revela:

IronBee

ModSecurity

dotDefender

openWAF

BinarySec

Para responder a su pregunta sobre la mejora del rendimiento, hay una respuesta muy simple: solo incluya en la lista negra las consultas más comunes que recibe que están afectando su rendimiento.

Agarra los archivos de registro durante un mes o menos. Coteja las solicitudes de ataque más comunes. Probablemente funcionará algo como lo siguiente: grep para solicitudes que devuelven 404 No Encontradas, encuentra todas las URL únicas, cuenta cuántas veces se accedió a cada URL única y clasificó. Tome todas las URL no existentes de acceso común y colóquelas en una lista negra. Ahora configure Apache para bloquear inmediatamente todos los intentos de acceder a cualquier URL en esa lista negra.

Una versión ligeramente más sofisticada de esto es recopilar las aplicaciones más atacadas (como phpMyAdmin), de acuerdo con sus registros. Para cada uno, verifique si tiene alguna copia de esa aplicación implementada legítimamente en su sitio. Si no lo hace, entonces agréguelo a una lista negra. Ahora configure Apache para bloquear inmediatamente todos los intentos de acceder a cualquier aplicación en esa lista negra. Esto puede ser un poco más amplio, pero puede requerir un poco más de trabajo recopilar la lista negra para asegurarse de que no está bloqueando inadvertidamente ninguna aplicación legítima en su sitio.

Para esto, no creo que necesites una lista negra centralizada. Sus registros deben tener toda la información necesaria para identificar las URL / aplicaciones no existentes a las que se accede con mayor frecuencia.

Tenga en cuenta que este enfoque puede mejorar el rendimiento , pero es poco probable que mejore la seguridad .

Sólo hazles un agujero negro. Cualquiera que verifique / phpMyAdmin en su servidor no está jugando bien, y no está ahí para usarlo realmente. Si alguien golpea eso, o cualquier otra ubicación de escaneo común, simplemente suéltelos para la siguiente hora o día. Ahora, esto puede presentar cierto potencial de DOS, pero eso requeriría un trabajo serio y sería fácilmente reversible.

Encuentro muy valioso el uso de intentos fallidos para eliminar posibles sondeos.