Статистическая атака на сайт

Question

Статистическая атака на сайт

Фон (читай немного)

Мы создали сокращенный перенаправитель URL-адресов (с использованием asp.net Url Routing с универсальным алгоритмом для 404 для маршрутизации), в котором штрих-коды сканируются с устройств, а затем перенаправляются на целевой сайт с мобильных устройств. Мы регистрируем все входящие запросы для статистического анализа. Со вчерашнего вечера понедельника наблюдается приток запросов и последующих перенаправлений на сайты назначения. Обычно я бы сказал "WooHoo!" но приток, по-видимому, слишком согласован и связан с разными IP-адресами (но в пакетном режиме) и синхронными запросами на разные URL-адреса. Существует только набор действительных URL-адресов перенаправления, НО приток наносит удары только по указанным URL-адресам (т. Е. Не является атакой методом грубой силы). URL-адреса общедоступны, но могут быть получены только из внутреннего персонала или из сканирования по кодам в опубликованном журнале. Никаких кодов не было выдано внутри.

Большинство пользовательских агентов из запросов, в основном, поступают с iPhone, и большинство IP-адресов являются локальными, что добавляет загадки (покажет примеры зарегистрированных запросов и статистику). Чтобы уменьшить приток, мы сначала внедрили правило блокировки ip (на уровне кода), чтобы добавить ip в список блоков, если 3 попытки произошли менее чем за 90 секунд (вытащил это правило из шапки:oP), и мы начали ловить некоторые, Если заблокирован, мы в основном прекращаем сеанс. Но это правило могло повлиять на законных пользователей (так как оно затрагивало внутренний персонал... работающий над белым списком, но еще не выполненный), поэтому мы выбрали другую тактику, промежуточную.

Мы реализовали целевую страницу вместо перенаправления, где пользователь должен взаимодействовать и нажать кнопку, чтобы продолжить. У нас все еще были правила блокировки ip для злоупотреблений. Так что, если законный пользователь прошел, им просто нужно нажать кнопку, чтобы продолжить. Если "посетитель" был в черном списке, мы внедрили процедуру проверки, чтобы убедиться, что они законны в своем намерении продолжить (правда, это не очень удобно для пользователей).

Я также реализовал robots.txt с запретом всего. Я даже разместил скрытую ссылку на целевой странице, чтобы посмотреть, был ли это сканер, но пока я не отслеживал трафик через него.

Мой технический партнер думал, что это может быть сбой в реальных устройствах / приложениях / браузерах Apple, которые заставляют его перезагружать сохраненные отсканированные URL-адреса (приложения для считывания штрих-кода, такие как RedLaser, i-nigma и т. Д.), Но это только кажется странным, что это продолжает происходить.

Таким образом, даже после внедрения целевой страницы, мы по-прежнему получаем трафик, который попадает на страницу, но не продолжает / нажимает на нее. Вот почему я думаю, что это атака не для того, чтобы скомпрометировать сайт, а для возможного конкурента, чтобы исказить статистику сайта? Статистика важна в бизнесе, но это законная статистика, которая имеет значение. Мы не хотим портить наших клиентов. Это также может быть работа с контентом, но с пользовательскими агентами и моей ловушкой не работает, я не знаю... могут ли это быть люди, делающие щелчки / сканирование... потерянные.

Кто-нибудь испытывал что-то подобное раньше?

    Some stats over a period of approximately 2.5 days...

            Count   HTTP_USER_AGENT
        2924    Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146
        506 Mozilla/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206
        424 Mozilla/5.0 (iPod; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146
        401 Mozilla/5.0 (iPhone; CPU iPhone OS 6_0_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A523
        202 Mozilla/5.0 (iPhone; CPU iPhone OS 6_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B141
        180 Mozilla/5.0 (iPhone; CPU iPhone OS 6_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B144
        157 Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A403
        138 Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A405
        119 Mozilla/5.0 (iPhone; CPU iPhone OS 6_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B142
        119 Mozilla/5.0 (iPod; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206
        111 Mozilla/5.0 (iPhone; CPU iPhone OS 6_0_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A551
        91  Mozilla/5.0 (iPhone; CPU iPhone OS 6_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B143
        88  Mozilla/5.0 (iPhone; CPU iPhone OS 5_0_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9A405
        86  Mozilla/5.0 (iPod; CPU iPhone OS 5_0_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9A405
        86  Mozilla/5.0 (iPod; CPU iPhone OS 6_0_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A523
        69  Mozilla/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B208
        56  Mozilla/5.0 (iPhone; CPU iPhone OS 6_0_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A525
        54  Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B329
        47  Mozilla/5.0 (iPod; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A403
        46  Mozilla/5.0 (iPod; CPU iPhone OS 6_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B144
        45  Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/536.6 (KHTML, like Gecko) Chrome/20.0.1092.0 Safari/536.6
        43  Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B145
        30  Mozilla/5.0 (iPhone; CPU iPhone OS 6_0_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A550
        27  Mozilla/5.0 (iPod; CPU iPhone OS 6_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B141
        22  Mozilla/5.0 (Linux; Android 4.1.1; SGH-I747M Build/JRO03L) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.169 Mobile Safari/537.22
        21  Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; MAM3)
        17  Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
        16  Mozilla/5.0 (iPhone; CPU iPhone OS 5_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B176
        13  Mozilla/5.0 (iPod; CPU iPhone OS 5_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B176
        13  Mozilla/5.0 (BlackBerry; U; BlackBerry 9800; en) AppleWebKit/534.8+ (KHTML, like Gecko) Version/6.0.0.600 Mobile Safari/534.8+
        13  Qrafter/7.0 CFNetwork/609.1.4 Darwin/13.0.0

    For these stats, I took out source IPs (for courtesy)but referenced which ones were same...just a small sample out approximate 6.5K requests

    Count   REMOTE_ADDR HTTP_USER_AGENT
    5   A.B.C.D Mozilla/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206
    13  A.B.C.D Mozilla/5.0 (iPhone; CPU iPhone OS 6_0_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A523
    2   A.B.C.D Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146
    6   A.B.C.D Mozilla/5.0 (iPod; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146
    1   B.C.D.E Mozilla/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206
    3   B.C.D.E Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B145
    10  B.C.D.E Mozilla/5.0 (iPod; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A406
    15  C.D.E.F Mozilla/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206
    31  C.D.E.F Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A405
    20  C.D.E.F Mozilla/5.0 (iPhone; CPU iPhone OS 6_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B141
    2   D.E.F.G Mozilla/5.0 (iPod; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206
    6   D.E.F.G Mozilla/5.0 (iPod; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A403
    2   D.E.F.G Mozilla/5.0 (iPod; CPU iPhone OS 6_0_1 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A523
    18  E.F.G.H Mozilla/5.0 (iPhone; CPU iPhone OS 6_0_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A550
    49  E.F.G.H Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146
    15  E.F.G.H Mozilla/5.0 (iPod; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206
    13  E.F.I.J Mozilla/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206
    11  E.F.I.J Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10A403
    11  E.F.I.J Mozilla/5.0 (iPod; CPU iPhone OS 5_0_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9A405
    3   E.F.I.J Mozilla/5.0 (iPod; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206


Sample of typical sequntial flood

URL HTTP_USER_AGENT REMOTE_ADDR LogDate
http://SITEURL/UoetZx   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    A.B.C.D 3/21/13 1:45 AM
http://SITEURL/2NedO0   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    A.B.C.D 3/21/13 1:45 AM
http://SITEURL/33hCWl   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    A.B.C.D 3/21/13 1:44 AM
http://SITEURL/e11LzG   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:44 AM
http://SITEURL/bQx5Bu   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    A.B.C.D 3/21/13 1:43 AM
http://SITEURL/BtrZ3m   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:43 AM
http://SITEURL/cxfmr1   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    A.B.C.D 3/21/13 1:43 AM
http://SITEURL/KztehQ   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    A.B.C.D 3/21/13 1:42 AM
http://SITEURL/O19sq3   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:42 AM
http://SITEURL/e6Dlwb   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    A.B.C.D 3/21/13 1:42 AM
http://SITEURL/GGQ4ZO   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:41 AM
http://SITEURL/jjr_rM   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    A.B.C.D 3/21/13 1:40 AM
http://SITEURL/yIzVel   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:40 AM
http://SITEURL/D8M0_Y   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:39 AM
http://SITEURL/-GqaX9   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:38 AM
http://SITEURL/9o0Bv8   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:37 AM
http://SITEURL/65_ce8   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:35 AM
http://SITEURL/33hCWl   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:34 AM
http://SITEURL/2NedO0   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:33 AM
http://SITEURL/UoetZx   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:33 AM
http://SITEURL/fknpPf   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:31 AM
http://SITEURL/tLEI3S   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:30 AM
http://SITEURL/MgOvvm   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:29 AM
http://SITEURL/MlJVua   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:28 AM
http://SITEURL/UcRIZj   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:27 AM
http://SITEURL/xZy-KP   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:26 AM
http://SITEURL/sXswln   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:25 AM
http://SITEURL/aQJrWx   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:24 AM
http://SITEURL/_sBrUw   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:23 AM
http://SITEURL/V7H9mK   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:22 AM
http://SITEURL/lchtkL   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:21 AM
http://SITEURL/WY7g1T   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:20 AM
http://SITEURL/bQx5Bu   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:19 AM
http://SITEURL/FznevZ   Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_2 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Mobile/10B146    B.C.D.E 3/21/13 1:17 AM

2

asp.net security flooding

Источник

user571860 21 мар '13 в 17:53

0 ответов

Другие вопросы по тегам asp.net security flooding