stefankittel
Goto Top

Sind unfreundliche Bots zu doof oder haben die zu viel Geld?

Hallo,

ich habe etwas was ich nicht verstehe.
Ich betreue für mehrere WebShops deren WAF.

Dabei kommt es quasi täglich vor, dass unfreundliche Bots durch den Rate-Limiter gesperrt werden weil sie zu schnell zu viele Seiten aufrufen. Auch gibt es eine Liste die immer abgewiesen wird. Das ist soweit normal.

Wenn ein Bot gesperrt ist, erhält er einen 403-Fehler (Zugriff abgewiesen).

Was mir immer mal wieder auffällt ist, dass ein Bot der in diesen Zustand läuft noch Stundenlang zehntausende Anfragen sendet. Die laufen alle in einen 403 und richten damit keinen Schaden an.

Ich habe auch mal die IP geblockt, so dass keine Verbindung zustande kommt.
Die Anzahl der Zugriffe bleibt gleich.


Ok, das sind automatisierte Zugriffe. Aber bei der Anzahl bedeutet dass doch auf für die Kosten für Infrastruktur und Traffic. So why?

Stefan

Content-Key: 13125880112

Url: https://administrator.de/contentid/13125880112

Printed on: May 28, 2024 at 06:05 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Apr 19, 2024 updated at 12:34:10 (UTC)
Goto Top
Zitat von @StefanKittel:

Ok, das sind automatisierte Zugriffe. Aber bei der Anzahl bedeutet dass doch auf für die Kosten für Infrastruktur und Traffic. So why?

Moin,

Vermutlich zahlt die Kosten jemand anders, wie das bei Botnetzen so üblich ist.

Oder die haben eine Flatrate.

Oder es sind Staatsbedienstete, wo dann der Steuerzahler dafür aufkommt.

face-sad

lks
Member: MirkoKR
MirkoKR Apr 19, 2024 at 13:28:14 (UTC)
Goto Top
... schon nach "htaccess block bots" geg**?
Member: maretz
maretz Apr 19, 2024 at 13:32:38 (UTC)
Goto Top
Glaubst du wirklich da steckt jemand viel IQ rein? wenn ich mal auf meinen webserver schaue (der sich klar als linux apache zu erkennen gibt!) -> da wird trotzdem permanent versucht die cmd.exe aufzurufen, RDP verbindungen,... Das sind irgendwelche Script-Kiddys die sich eben für die grossen Hacker halten weil die irgendwo nen 3zeiler gefunden haben und den ausführen konnten...
Member: StefanKittel
StefanKittel Apr 19, 2024 at 13:46:16 (UTC)
Goto Top
Zitat von @MirkoKR:
... schon nach "htaccess block bots" geg**?
Wie ich das blocke spielt doch keine Rolle. Egal ob iptable, WAF oder HTA.
Mich "ärgert", dass die unfreundlichen Bots zehntauschend mal eine URL aufrufen. Auch wenn es mich keine Resourcen kostet.
Member: StefanKittel
StefanKittel Apr 19, 2024 at 13:47:47 (UTC)
Goto Top
Zitat von @maretz:

Glaubst du wirklich da steckt jemand viel IQ rein? wenn ich mal auf meinen webserver schaue (der sich klar als linux apache zu erkennen gibt!) -> da wird trotzdem permanent versucht die cmd.exe aufzurufen, RDP verbindungen,... Das sind irgendwelche Script-Kiddys die sich eben für die grossen Hacker halten weil die irgendwo nen 3zeiler gefunden haben und den ausführen konnten...

Ja, aber die machen 100 Zugriffe und ziehen weiter.
Die haben damit ja ein Ergebnis generiert: Da komme ich nicht rein.

Hier rufen die unfreundlichen Bots 10.000 Produktseiten auf und erhalten nichts.
Nach 100 403 Seiten den Job abzubrechen wäre ja nur 2 Zeilen code.

Stefan
Member: MirkoKR
MirkoKR Apr 19, 2024 at 13:50:06 (UTC)
Goto Top
OK, da klingt ja nach DOS- da muss man anders vorgehen um den Server nicht zu überlasten ...
Member: maretz
maretz Apr 19, 2024 at 13:59:55 (UTC)
Goto Top
naja - das kommt ja drauf an was das für de**en sind... Am Ende wirst du es eben immer als "Hintergrundrauschen" haben... Zum Teil kann man da noch was über Geoblocking machen aber dank der ganzen CDNs, Clouds,... usw. ist selbst das nur noch etwas reduzierend... Und grad bei Botnetzen is es dem eigentlichem Controller ja egal wieviel Traffic das is -> der läuft ja dann über die Bots (und ich vermute wenn ich mir hier so einige Beiträge im Forum angucke das auch da einige Bots laufen die der sog. "Admin" nich mal bemerkt...)
Member: StefanKittel
StefanKittel Apr 19, 2024 updated at 14:43:25 (UTC)
Goto Top
Zitat von @MirkoKR:
OK, da klingt ja nach DOS- da muss man anders vorgehen um den Server nicht zu überlasten ...
Ne, das ist leider normal. Es ist in dem Sinne kein Problem. Dafür ist ja die WAF mit Rate-Limiter, Geo-Blocking, etc.
Ich versuche nur deren Logik zu verstehen. Das einzige was mir bis jetzt dazu einfällt: "Lass mal laufen, die Kosten sind egal" oder "Lass mal laufen, der Traffic läuft eh über gehackte Server".

Normal ist (bei verschiedenen Kunden und Shop-Systemen)
30% = gute Bots (Google, Apple, Bing, etc)
50% = normale Besucher
20% = Monitoring, unfreundliche Bots, Hacker, Skriptkiddies, Scanner, etc
Member: StefanKittel
StefanKittel Apr 19, 2024 at 14:42:08 (UTC)
Goto Top
Zitat von @maretz:

naja - das kommt ja drauf an was das für de**en sind... Am Ende wirst du es eben immer als "Hintergrundrauschen" haben... Zum Teil kann man da noch was über Geoblocking machen aber dank der ganzen CDNs, Clouds,... usw. ist selbst das nur noch etwas reduzierend... Und grad bei Botnetzen is es dem eigentlichem Controller ja egal wieviel Traffic das is -> der läuft ja dann über die Bots (und ich vermute wenn ich mir hier so einige Beiträge im Forum angucke das auch da einige Bots laufen die der sog. "Admin" nich mal bemerkt...)

Ja, möglich.
Member: aqui
aqui Apr 19, 2024 at 18:04:49 (UTC)
Goto Top
...deren WAF
https://de.wikipedia.org/wiki/Woman_acceptance_factor
Ist ja Freitag... ­čÉč ­čĄú
Member: StefanKittel
StefanKittel Apr 19, 2024 at 22:04:21 (UTC)
Goto Top
Ne ne ne... nicht der WAF sondern die WAF... Trotz Freitag