我在 Apache 日志中看到如下条目
178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"
用COOK代替通常的GET或POST。
我尝试了各种搜索词,但找不到任何关于这可能是什么的信息。我还在 Google 上搜索了用户代理字符串,发现它很可能是一个使用阿拉拉特突触。并且根据使用该用户代理字符串发出的其他请求来判断,此人肯定是心怀不轨之人。
那么这只是一些虚构的请求方法吗?
Apache 如何处理未知的请求方法?所有COOK请求的响应状态代码都记录为 303。那么 Apache 是否表示查看其他并只提供相同的 URI?我没有看到来自同一 IP 的另一个命中,所以我假设响应只是被记录或忽略了。他们可能稍后会从另一个 IP 返回。
所以我的脚本从未运行过,对吗?
答案1
可以肯定的是,它不是任何 HTTP 标准中定义的方法。可能是专有 Web 服务器实现的一些“自定义”方法。
由于这是一种未知方法,Apache 不应该执行任何操作。根据维基百科关于 HTTP 303 的文章,我引用一下:
该响应表明可以在不同的 URI 下找到正确的响应,并且应使用 GET 方法进行检索。
所以基本上 Apache 是告诉客户端使用 GET 方法重试请求。
答案2
COOK 动词似乎与包含“Synapse”的 User-Agent 字符串同义。术语 Synapse 是一个用 Pascal 编写的免费 TCP/IP 库(参见此处:http://wiki.freepascal.org/Synapse#From_an_HTTP_server) 用于创建机器人、抓取工具、爬虫和其他合法软件。
答案3
这种攻击方法通常与前面提到的用户代理有关,例如 SYNAPSE,并且由于此工具通常用于恶意探测和黑客攻击,因此很可能使用此方法探测您是否正在阻止或是否安装了某种防火墙或应用程序,这些防火墙或应用程序将根据未知的 HTTP 方法进行阻止。根据响应,您可能能够深入了解所使用的工具。
他们知道您有防火墙或其他某种工具来拒绝这些请求,然后他们策划攻击以避免该类型的防火墙/工具使用的常见默认阻止行为。