stefankittel
Goto Top

Sind unfreundliche Bots zu doof oder haben die zu viel Geld?

Hallo,

ich habe etwas was ich nicht verstehe.
Ich betreue für mehrere WebShops deren WAF.

Dabei kommt es quasi täglich vor, dass unfreundliche Bots durch den Rate-Limiter gesperrt werden weil sie zu schnell zu viele Seiten aufrufen. Auch gibt es eine Liste die immer abgewiesen wird. Das ist soweit normal.

Wenn ein Bot gesperrt ist, erhält er einen 403-Fehler (Zugriff abgewiesen).

Was mir immer mal wieder auffällt ist, dass ein Bot der in diesen Zustand läuft noch Stundenlang zehntausende Anfragen sendet. Die laufen alle in einen 403 und richten damit keinen Schaden an.

Ich habe auch mal die IP geblockt, so dass keine Verbindung zustande kommt.
Die Anzahl der Zugriffe bleibt gleich.


Ok, das sind automatisierte Zugriffe. Aber bei der Anzahl bedeutet dass doch auf für die Kosten für Infrastruktur und Traffic. So why?

Stefan

Content-ID: 13125880112

Url: https://administrator.de/forum/sind-unfreundliche-bots-zu-doof-oder-haben-die-zu-viel-geld-13125880112.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 19.04.2024 aktualisiert um 14:34:10 Uhr
Goto Top
Zitat von @StefanKittel:

Ok, das sind automatisierte Zugriffe. Aber bei der Anzahl bedeutet dass doch auf für die Kosten für Infrastruktur und Traffic. So why?

Moin,

Vermutlich zahlt die Kosten jemand anders, wie das bei Botnetzen so üblich ist.

Oder die haben eine Flatrate.

Oder es sind Staatsbedienstete, wo dann der Steuerzahler dafür aufkommt.

face-sad

lks
MirkoKR
MirkoKR 19.04.2024 um 15:28:14 Uhr
Goto Top
... schon nach "htaccess block bots" geg**?
maretz
maretz 19.04.2024 um 15:32:38 Uhr
Goto Top
Glaubst du wirklich da steckt jemand viel IQ rein? wenn ich mal auf meinen webserver schaue (der sich klar als linux apache zu erkennen gibt!) -> da wird trotzdem permanent versucht die cmd.exe aufzurufen, RDP verbindungen,... Das sind irgendwelche Script-Kiddys die sich eben für die grossen Hacker halten weil die irgendwo nen 3zeiler gefunden haben und den ausführen konnten...
StefanKittel
StefanKittel 19.04.2024 um 15:46:16 Uhr
Goto Top
Zitat von @MirkoKR:
... schon nach "htaccess block bots" geg**?
Wie ich das blocke spielt doch keine Rolle. Egal ob iptable, WAF oder HTA.
Mich "ärgert", dass die unfreundlichen Bots zehntauschend mal eine URL aufrufen. Auch wenn es mich keine Resourcen kostet.
StefanKittel
StefanKittel 19.04.2024 um 15:47:47 Uhr
Goto Top
Zitat von @maretz:

Glaubst du wirklich da steckt jemand viel IQ rein? wenn ich mal auf meinen webserver schaue (der sich klar als linux apache zu erkennen gibt!) -> da wird trotzdem permanent versucht die cmd.exe aufzurufen, RDP verbindungen,... Das sind irgendwelche Script-Kiddys die sich eben für die grossen Hacker halten weil die irgendwo nen 3zeiler gefunden haben und den ausführen konnten...

Ja, aber die machen 100 Zugriffe und ziehen weiter.
Die haben damit ja ein Ergebnis generiert: Da komme ich nicht rein.

Hier rufen die unfreundlichen Bots 10.000 Produktseiten auf und erhalten nichts.
Nach 100 403 Seiten den Job abzubrechen wäre ja nur 2 Zeilen code.

Stefan
MirkoKR
MirkoKR 19.04.2024 um 15:50:06 Uhr
Goto Top
OK, da klingt ja nach DOS- da muss man anders vorgehen um den Server nicht zu überlasten ...
maretz
maretz 19.04.2024 um 15:59:55 Uhr
Goto Top
naja - das kommt ja drauf an was das für de**en sind... Am Ende wirst du es eben immer als "Hintergrundrauschen" haben... Zum Teil kann man da noch was über Geoblocking machen aber dank der ganzen CDNs, Clouds,... usw. ist selbst das nur noch etwas reduzierend... Und grad bei Botnetzen is es dem eigentlichem Controller ja egal wieviel Traffic das is -> der läuft ja dann über die Bots (und ich vermute wenn ich mir hier so einige Beiträge im Forum angucke das auch da einige Bots laufen die der sog. "Admin" nich mal bemerkt...)
StefanKittel
StefanKittel 19.04.2024 aktualisiert um 16:43:25 Uhr
Goto Top
Zitat von @MirkoKR:
OK, da klingt ja nach DOS- da muss man anders vorgehen um den Server nicht zu überlasten ...
Ne, das ist leider normal. Es ist in dem Sinne kein Problem. Dafür ist ja die WAF mit Rate-Limiter, Geo-Blocking, etc.
Ich versuche nur deren Logik zu verstehen. Das einzige was mir bis jetzt dazu einfällt: "Lass mal laufen, die Kosten sind egal" oder "Lass mal laufen, der Traffic läuft eh über gehackte Server".

Normal ist (bei verschiedenen Kunden und Shop-Systemen)
30% = gute Bots (Google, Apple, Bing, etc)
50% = normale Besucher
20% = Monitoring, unfreundliche Bots, Hacker, Skriptkiddies, Scanner, etc
StefanKittel
StefanKittel 19.04.2024 um 16:42:08 Uhr
Goto Top
Zitat von @maretz:

naja - das kommt ja drauf an was das für de**en sind... Am Ende wirst du es eben immer als "Hintergrundrauschen" haben... Zum Teil kann man da noch was über Geoblocking machen aber dank der ganzen CDNs, Clouds,... usw. ist selbst das nur noch etwas reduzierend... Und grad bei Botnetzen is es dem eigentlichem Controller ja egal wieviel Traffic das is -> der läuft ja dann über die Bots (und ich vermute wenn ich mir hier so einige Beiträge im Forum angucke das auch da einige Bots laufen die der sog. "Admin" nich mal bemerkt...)

Ja, möglich.
aqui
aqui 19.04.2024 um 20:04:49 Uhr
Goto Top
...deren WAF
https://de.wikipedia.org/wiki/Woman_acceptance_factor
Ist ja Freitag... 🐟 🤣
StefanKittel
StefanKittel 20.04.2024 um 00:04:21 Uhr
Goto Top
Ne ne ne... nicht der WAF sondern die WAF... Trotz Freitag