Вопрос или проблема
Мой сайт подвергается атакам сканирования, и я ищу оптимальный способ заблокировать нападающих.
Вот как выглядит атака, смягченная режимом борьбы с ботами Cloudflare
В интернете есть советы о том, как справляться с этими атаками, блокируя ASN (пример), но я не уверен, что это оптимальный способ. В моем случае атаки поступают из AS8075 MICROSOFT-CORP-MSN-AS-BLOCK, поэтому сначала я подумал заблокировать по диапазонам IP.
Некоторые детали о контексте,
Атаки сканирования поступают из одной конкретной страны, на этот раз из Ирландии
пять IP-адресов из трех диапазонов
Microsoft ничего не делает. Я Contacted [email protected] email, но они никогда не отвечали. Я знаю, что около 4% их трафика – люди, а также есть bingbot, который полезен для моего сайта.
Мой вопрос: есть ли что-то, что я не понимаю по этому вопросу? Почему они продолжают сканировать, даже если нет шансов на успех их атаки сканирования?
Ответ или решение
Почему Microsoft не заботится о предотвращении сканирующих атак, исходящих с их IP-адресов?
Сканирующие атаки являются распространенной проблемой в интернете, и, к сожалению, многие компании, такие как Microsoft, могут оказаться в центре внимания из-за того, что их IP-адреса используются для таких действий. Чтобы понять, почему Microsoft может не реагировать на эти сканирования, рассмотрим несколько факторов.
1. Объем трафика и легитимные процессы
Microsoft управляет огромными объёмами трафика. Они предоставляют множество сервисов, которые, в свою очередь, могут генерировать как легитимные, так и потенциально вредоносные запросы. Это включает как поисковые роботы Bing, так и автоматизированные скрипты, использующие Microsoft’s API. Из-за этого сложности идентифицировать и блокировать "вредный" трафик без ущерба для законных процессов.
2. Сложность идентификации
Сканируя сети, важно отличать легитимный трафик от потенциального вредоносного. Иногда сканирующий трафик может происходить в рамках исследований безопасности или анализа данных, которые являются частью согласованных действий. Microsoft может не рассматривать такую деятельность как непосредственную угрозу, если она не нарушает правила безопасности или законодательства.
3. Отсутствие отчетов о злоупотреблениях
Если Microsoft не получает достаточного количества жалоб по поводу конкретных IP-адресов, они могут не быть осведомлены о проблеме. Если вы не получили ответа на ваш запрос, возможно, он не был обработан из-за недостатка информации или конкретности. Предоставление более точных данных об атаке может помочь в обеспечении большей необходимости реагировать.
4. Краткосрочные решения
Блокировка IP-адресов или диапазонов IP может быть временным решением и может привести к нежелательным последствиям, например, блокировке легитимного трафика. Вместо этого рекомендуется использовать решения на уровне приложений и ограничения, такие как CAPTCHA, механизмы аутентификации и файрвольные блокировки.
5. Альтернативные меры защиты
Если сканирование происходит на вашем веб-сайте, рассмотрите следующие меры:
- Использование Cloudflare или аналогичных сервисов: Они могут эффективно блокировать злонамеренный трафик и фильтровать атаки.
- Настройка правил для ботов: Если вы знаете, что конкретные IP-адреса используются для атаки, создайте правила, которые смогут их блокировать, но обязательно сохраните доступ для легитимного трафика, например, от Bingbot.
- Мониторинг и анализ трафика: Постоянно анализируйте и проверяйте трафик на предмет аномалий. Это поможет наладить более точное реагирование на возможные угрозы.
Заключение
Microsoft может не реагировать на сканирование, происходящее с их IP-адресов, потому что эта активность может рассматриваться как часть их нормальной работы по обслуживанию миллионов пользователей и сервисов. Чтобы защитить свой сайт от таких атак, рекомендуется использовать многоуровневую стратегию безопасности, комбинируя блокировку IP-адресов с более сложными средствами защиты, обеспечивая при этом доступ к вашему сайту для нужных пользователей.