Sitat

---

#41218 BlackMinD :
Təşəkkürlər
Skanerlərin əksəriyyətinin ən başlıca mənfi cəhəti var saytları requestləri intensiv olaraq fuzz edirlər.
Signature based müəyyən halda effektiv ola bilər amma çox da etibarlı deyil.

Daha dürüst yol kimi mən çox vaxtı Request(n)/ per second (vahid zamana düşən requestlərin sayı) məsələn 8-9 request verməklə avtomatik bana atıram onları
(Web app səviyyədə yazılan bir skriptdir)

Signature based artıq 2-ci planda gedir.Məsələn Stealth dediyi kimi Acunetix çox vaxtı Request headerlərdə

Acunetix-filelist: ajsbfhsdfhsdbfshdb

tipli headerlər göndərir.
Onu da detect edib mələtmək rahat yoldur.

Digər tərəfdən PHP kod vasitəsilə İP adresin ban edilməsinə gəldikdə onu deyim ki yaxşıca əmin olmaq lazımdır Server proqram təminatı haqqında.
Xüsusilə Apache-dən öndə Hər hansı proksifikasiya dayanırsa.(Apache traffic server/Apache Mod proxy və s).
Bu halda REMOTE_ADDR request headeri asanlıqla spoof edilə bilər.
Misal üçün byethost ən şanlı nümunədir:

Host: olololo.byethost8.com
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
X-FORWARDED-FOR: GIVE ME INTERNAL SERVER ERRORs7f54sf5sdf5
DNT: 1
Connection: keep-alive
Cache-Control: max-age=0



X-FORWARDED-FOR headeri serverdə REMOTE_ADDR-ı overwrite edəcək nəticədə klient side input .htaccess-də olacaq.
Ən azından internal server error var bu halda.
(Yəni REMOTE_ADDR)-a da etibar yoxdur və düşünməyin ki,safe-dir.

Daha etibarlı yol Server tərəfli netstat parse-dir (İP adresləri) ən azında TCP/İP Stack-ı aldatmaq asan olmur deyə.(Limiti keçən İP adres uçur iptables DROP-a)

---