А я планирую собирать блок-списки не/(не только) по количеству обращений а по признаку сканирования или перебора паролей. Если разместить достаточное количество сенсоров в Сети то за какое-то время T можно вычислить всех ботов и прокси. Ведь количество их все равно ограничено. Тогда забанив бота я заблокирую с него любой трафик DoS,SYN,HTTP Flood… Да все равно какой. Забанив прокси я рискую отсечь часть правильных клиентов от ресурса. Вообще есть большое желание сделать железку, которую можно воткнуть в разрез и управлять ею централизованно, рассылая списки доступа. Смотрю в сторону NPA-1,2,3. То есть система такая — сенсоры собирают статистику в центральную базу, анализатор вычисляет ботов и посылает списки на девайсы. Те на лету ACL применяют. И хочу еще до 5 уровня пакеты разбирать чтобы по URL фильтровать чтобы допустим не давать приходить обновлениям с Мелкомягких пока не проверено. Ну, чтобы админов избавить от головняка.
Вот поймал одного:
Насколько я понимаю спуффинга нет, поскольку удаленный хост получает мой сиквенс и присылает увеличенный на 1. если бы был спуффинг удаленный хост не получал бы мой сиквенс, ведь адрес источника подделан, и сиквенс улетит на поддельный адрес. Это мое мнение. Возможно существуют какие-то варианты.
IP спуффинг теоретически еще возможен. Но здесь TCP а не UDP, а при TCP реализовать спуфинг можно если нумерация пакетов линейная и если провайдер выпускает из своей сети пакеты с адресом источника не из его сети. Спасибо что подсказали — поставлю на контроль пакеты.
Сервисов, кто предоставляет геолокацию по IP много. Если есть желание посравнивайте. Вообще не видел чтобы кто-то жаловался на значительное расхождение. Может не определяться адрес, но по геопривязке обычно норма.
Логи будут распухать меньше, но боты вернутся. Кому вообще кроме админа нужен SSH из Интернет? Я решил эту проблему проще: Закрыл все кроме HTTP, но сделал страничку с аутентификацией. Кто проходит тому нужный порт открывается на сутки.
Тут важно что при обращении сканера на эту страницу хит с уникальным адресом происходит и счетчик посещений увеличивается. Именно об этом и было сказано в статье. Одно плохо — если сканируют по адресу(а вероятно так и есть) то и посещаемость растет у сайта с адресом в URL. На посещаемости сайта с нормальным URL такое сканирование на отражается.
Для получения хитов достаточно выполнить этот код.
Если это Ваш адрес — х.х.216.62 то хит состоялся и счетчик посещаемости++. Но с этого адреса заходили по имени, а для чистоты эксперимента лучше идти по IP адресу.
А я говорю не про бот поисковика, а про бот сканера. Он просто эмулирует посещение страницы. А раз посещает то и скрипт, размещенный на ней в тегах выполняется. и счетчик посещений прибавляется.
Спорить более не буду, поскольку это доказано экспериментально.
Вообще-то работает. Если код таргета состоит из кода счетчика(а этот код есть скрипт) то он будет выполняться при любом запросе к таргету. Другое дело, что боту это не интересно. Ему важен результат ошибки запроса: 200 или 404. Вот если он получает 200 то что дальше? Стучит хозяину?
Насколько я понимаю спуффинга нет, поскольку удаленный хост получает мой сиквенс и присылает увеличенный на 1. если бы был спуффинг удаленный хост не получал бы мой сиквенс, ведь адрес источника подделан, и сиквенс улетит на поддельный адрес. Это мое мнение. Возможно существуют какие-то варианты.
Тут важно что при обращении сканера на эту страницу хит с уникальным адресом происходит и счетчик посещений увеличивается. Именно об этом и было сказано в статье. Одно плохо — если сканируют по адресу(а вероятно так и есть) то и посещаемость растет у сайта с адресом в URL. На посещаемости сайта с нормальным URL такое сканирование на отражается.
Если это Ваш адрес — х.х.216.62 то хит состоялся и счетчик посещаемости++. Но с этого адреса заходили по имени, а для чистоты эксперимента лучше идти по IP адресу.
Спорить более не буду, поскольку это доказано экспериментально.
Спасибо Австралии за отклик!
А нет ли кого из Новой Зеландии?
Про Африку и не спрашиваю.
Кстати, а куда дели IP4 адреса, отданные Африке?