每天都有大量恶意机器人攻击我们的服务器,我有工具可以即时阻止它们(即 modsecurity 和我自己的一个 C++ 工具)。这些工具阻止机器人,因此不会发回任何数据,并且它们在我的防火墙上被禁止,因此任何额外的攻击都会立即被拒绝。在我的其中一台服务器(小型服务器!)上,我每天会收到超过 20 个这样的阻止(IP),而该服务器每月只收到约 3,000 次攻击。
现在,IP 阻止是暂时的,主要是为了避免防火墙拥挤(防火墙中 1,000 个 IP 会使速度变得非常慢!)
但是,我现在很想知道...您这边会怎么做?一次性屏蔽所有内容,还是通过重定向将机器人发送到 la la land?我想我可以创建一个没有任何内容的微型 HTML 页面(您知道,比如一个标题和一个写着“谢谢”的正文,然后就好了)。
您认为哪种方法最好?我发现重定向似乎无法阻止任何机器人,因此到目前为止,防火墙一直是我最好的解决方案……但我想知道其他人在这种情况下会怎么做?
答案1
机器人不一定遵循重定向。毕竟它不是人类。事实上,如果您的服务器使用替代地址提示进行响应(或根本不响应),它可能会忽略它并有动力深入挖掘您的域,或者它可能会疯狂地抓取您和您的重定向,以获得任何响应。
您能做的最好的事情就是,一旦 IP 开始表现可疑(典型的管理 URL,如 php-mysql,跟踪每个链接等),就将其阻止。否则,就不要紧张,让他们做他们的事情。只要您的网站具有足够的安全性来阻止未经授权访问敏感内容,并且经常进行应急备份以防万一,您就不必担心。
答案2
这取决于是什么影响了你的防火墙。IME,对流量进行黑洞处理效果最好。
最近,我的域服务器收到了来自少数地址的大量 DNS 查询。有人认为它为根服务器查询提供了足够有效的响应(它不是开放解析器),然后将其提供给 DDoS 工具使用。与其中一个 IP 地址的所有者讨论后发现,这是一个欺骗数据包,任何响应都会造成预期的 DDoS。所以我一发现它们就将它们拉黑了。现在它们都消失了。
如果有人误以为它是开放解析器,那么发回误导性信息可能会有效。肯定会造成混淆!