Tôi đồng ý với cách tiếp cận honeypot nói chung. Tuy nhiên, tôi đặt liên kết CHỈ tới trang/tài nguyên honeypot trên trang bị chặn bởi "/robots.txt" - cũng như honeypot bị chặn bởi như vậy. Bằng cách này, rô bốt độc hại phải vi phạm quy tắc "không cho phép" hai lần để tự cấm. Một người dùng điển hình theo cách thủ công sau một liên kết không thể nhấp được có khả năng chỉ làm điều này một lần và có thể không tìm thấy trang chứa URL honeypot.
Tài nguyên honeypot ghi lại địa chỉ IP vi phạm của ứng dụng khách độc hại vào tệp được sử dụng làm danh sách cấm IP ở nơi khác trong cấu hình máy chủ web. Bằng cách này, một khi được liệt kê, máy chủ web chặn tất cả truy cập thêm bằng địa chỉ IP của khách hàng đó cho đến khi danh sách bị xóa. Những người khác có thể có một số loại hết hạn tự động, nhưng tôi tin rằng chỉ trong việc loại bỏ thủ công khỏi danh sách cấm.
Ngoài ra: Tôi cũng làm điều tương tự với spam và máy chủ thư của tôi: Các trang web gửi thư rác cho tôi vì thư đầu tiên của họ bị cấm gửi thêm bất kỳ tin nhắn nào cho đến khi tôi xóa tệp nhật ký. Mặc dù tôi thực hiện các danh sách cấm này ở cấp ứng dụng, nhưng tôi cũng có danh sách cấm hoạt động cấp tường lửa. Mail và máy chủ web của tôi cũng chia sẻ thông tin IP bị cấm giữa chúng. Đối với một spammer không phức tạp, tôi nhận thấy rằng cùng một địa chỉ IP có thể lưu trữ cả một con nhện độc hại và một spewer thư rác. Tất nhiên, đó là tiền Botnet, nhưng tôi chưa bao giờ gỡ bỏ nó.
Nguồn
2012-12-22 04:40:55
+1 robots.txt sẽ không hoàn thành công việc nếu nhện độc hại. Bạn sẽ cần phải chặn chúng tại tường lửa bằng IP hoặc chuỗi tác nhân người dùng, nhưng tiếc là (như bạn đã lưu ý) điều này có thể khá khó khăn để theo kịp. –
Tốt nhất là nên tạo một Mô-đun HTML để lọc ra các tập lệnh độc hại dựa trên tỷ lệ yêu cầu, IP, bất cứ điều gì. – Todd
Nếu bạn sử dụng một HTTPModule thì bạn đang mở bản thân cho đến một cuộc tấn công DOS có thể xảy ra. –