Monitoring ruchu i blokowanie szkodliwego ruchu na stronie




kontrola portalu

W różnego rodzaju logach widać coraz większy ruch wywołany przez różnego rodzaju automaty. Czasami stanowi od duży procent ruchu w ogóle.  Nie mówię tu tylko o robotach i pajączkach wyszukiwarek, bo takie odwiedzyny są pożadane i przynoszą portalom korzyść w postaci bytności w wynikach wyszukiwania, ale o różnego rodzaju automatach nie przynoszących stronie nic lub wręcz szkodzących jej widoczności, reputacji lub chcąch shackować portal. W najlepszym przypadku takie automaty pożerają transfer i zasoby serwerów. Odpowiedzią na takie niepożądane wejścia jest oczywiście blokada jednak nie jest to takie proste bez ciągłego monitoringu najczęściej wspieranego przez odpowiednie oprogramowanie. Łatwo przecież przedobrzyć i zablokować pożądany ruch a na takie działanie pozwolić sobie nie możemy.

Monitoring ruchu na stronie

Poza oczywistymi korzysciami wynikającymi z wiedzy co internauta odwiedził monitoring ruchu na stronie świetnie nadaje się do zdiagnozowania niepożadanych wejśc. Przy pomocy różnych zmiennych serwerowych możemy w miarę dokładnie określić różne parametry wejścia a przy tym rozpoznać i skutecznie zablokować niepożądany automat. Niestety nie bardzo można do takich działań stosować rozwiazania dostarczane przez wyszukiwarki. Co prawda skrypty dostarczane przez wyszukiwarki mogą nam wiele powiedzieć o ruchu pożądanym ale już niewiele o niepożadanym i są do tego podatne na oszustwa przez stosowanie różnych sprytnych metod.

Co blokować

Jak juz pisałem nie blokować pożądanych wejść czyli faktycznych użytkowników i robotów wyszukiwarek. Poza tym z zasady można blokować:

  • wejścia w których zmienna USER_AGENT jesy pusta
  • wejścia ze starych sytemów operacyjnych i starych przeglądarek
  • wejscia wywołane robotami z portali których nie używamy
  • wejscia które w zmiennej HTTP_REFERER mają adresy do dziwnych stron, jest to tak zwany refspam
  • wejscia które jednoznacznie można rozpoznać jako bot i nie wiemy do czego on służy
  • wejścia jednoznacznie szukające dziur w oprogmamowaniu portalu lub atakujące 

Oszustwo przez referrer czyli refspam

Ogólnie rzecz biorąc proceder polaga na tym, że automat wchodzi na nasz portal niby z linku umieszczonego w zmiennej HTTP_REFERER. Piszę "niby" bo faktycznie taki link nie istnieje, chodzi o to by wyszukiwarki zostały powiadomione o wejsciu z z tamtej strony. Jest to bardzo proste gdy strona używa kodu śledzącego wyszukiwarki. Wejścia takie często obnizaja reputację naszego portalu bo przecież likowany jest on przez portal o wątpliwej lub często złej reputacji. Dodatkowo pozwalamy zaistnieć tamtemu portalowi jako majacemu ruch bo dla wyszukiwarek wyglada to jak naturalne przejscie z tamtego portalu do naszego portalu przez faktycznego uzytkownika.

Ataki i próby obejścia oprogramowania strony

Na swoich stronach takie ataki i próby obejścia oprogramowania odnotowuję kilka razy w tygodniu. Co ciekawe najczęściej są to próby zaatakowania popularnych skryptów CMS. Jest to bardzo ważne dla właścicielu stron używających tych skryptów. Widziałem już wielokrotnie udane ataki, które w najlepszym przypadku kończą się rozsyłaniem spamu a kilka razy zdarzyło się że strona została po prostu złośliwie zniszczona. Co prawda najczęsciej przyczyna udanego ataku jest niezachowanie podstawowych zasad bezpieczeństwa lub stoswanie niesprawdzonych, tanich bym wręcz darmowych rozszerzeń do tych skryptów. Jednak czasami brak odpowiedniego monitoringu wejść daje atakującemu dostateczną ilośc czasu lub prób by mimo zachowania bezpieczeństwa atak był udany.

Jak blokować nieporzadane wejścia

Tu Ameryki nie odkryję:

  • blokujemy przez odpowiedne formuły w piku .htaccess
  • blokujemy przez zintegrowene z monitoringem strony skrypty czyli przez oprogramowanie

Rozwiazanie drugie ma tę zaletę, że reaguje szybciej na zmiany i jest w wielu przypadkach zautomatyzowane niz sztywne reguły w pliku .htaccess.

Jednak nie tyle istotne jest sposób blokady co informacja przekazana przez nasz serwer. Tu mamy do wyboru:

  • informacja że dany zasób czyli adres intrenetowy nie istnieje - popularny błąd 404 not found 
  • odbicie (deflecting) stosowane dla refspamu przekierowyjący wejście z powrotem na nieporzadaną stronę

Podsumowanie

Warto się przyjrzeć co sie dzieje na naszych portalach od strony ruchu i warto też monitorować ten ruch. Często zapobiegnie to niepożądanym efektom i oczywistej stracie wywołanej czyimś mniej lub wiecej złośliwym działeniem. 

Pozdrawiam Piotr Nowak



Wszystkie artykuły

Statystyki

Kategorii: 14
Podkategorii: 75
Wpisów razem: 148
Wpisów opublikowanych: 148
Wpisów oczekujacych: 0
Wpisów odrzuconych: 0
Wpisy wyświetlono: 45427 razy

Stronę odwiedzono: 155822 razy
Użytkowników online: 18

Cookies

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Pokaż wiecej