Distinguir entre fuerza bruta y rastreadores en el informe de errores

0

Recientemente he recibido una gran cantidad de correos electrónicos que informan sobre problemas en mi sitio web que, cuando volví y buscamos, se ha informado de que son ataques de fuerza bruta. Después de una nueva inspección de su ubicación. He notado que muchos de ellos provienen de la misma dirección IP y parecen estar vinculados a Google, o Yahoo por ejemplo este sitio:

enlace

informa la siguiente IP: 104.199.203.53, que se origina en la nube de Google, como fuerza bruta.

¿Hay una buena manera de distinguir entre los ataques de fuerza bruta aparentes y los rastreadores que revisan el sitio?

Actualizar: todos los correos electrónicos se generan desde el sitio de producción. El informe de errores está emitiendo una excepción de referencia nula.

    
pregunta Joshua 01.03.2017 - 17:48
fuente

1 respuesta

2

Brute forcing generalmente se aplica al envío de combinaciones de usuario / contraseña a su punto final de inicio de sesión. Entonces, lo que ve en un ataque de fuerza bruta es miles de solicitudes HTTP POST a la URL detrás de la cual reside su lógica de inicio de sesión.

El rastreo tiene un perfil completamente diferente. Un rastreador llegará a su sitio web en cualquier punto de entrada, probablemente la página de inicio del sitio, y comenzará a seguir los enlaces desde allí. Los rastreadores benignos nunca envían solicitudes POST; simplemente OBTENEN cada página, miran los enlaces en esa página y más adelante OBTENGAN las páginas vinculadas. Los rastreadores bien escritos también respetarán el archivo robots.txt, por lo que si enumera su punto final de inicio de sesión en el archivo robots.txt, los rastreadores no deberían solicitarlo. Además, los rastreadores bien escritos siguen los límites de frecuencia que sugiere.

La IP de origen es completamente irrelevante para determinar si se trata de un rastreador o un ataque de fuerza bruta. Tanto los rastreadores como los ataques de fuerza bruta pueden originarse desde una única IP o distribuirse en varias o incluso cientos de IP diferentes.

    
respondido por el Pascal 01.03.2017 - 17:56
fuente

Lea otras preguntas en las etiquetas