Apache Synapse 란 무엇입니까?

내 웹 사이트는 다음과 같은 사용자 에이전트 문자열로 이상한 요청에 계속 부딪칩니다.

Mozilla/4.0 (compatible; Synapse)

친근한 도구 인 Google을 사용하여 친근한 지역 인 Apache Synapse 의 특징적인 전화 카드를 확인할 수있었습니다 . '경량 ESB (엔터프라이즈 서비스 버스)'.

이제 수집 한이 정보를 바탕으로이 도구의 용도를 아직 알지 못합니다. 내가 알 수있는 것은 웹 서비스와 관련이 있으며 다양한 프로토콜을 지원한다는 것입니다. 정보 페이지는 프록시 및 웹 서비스와 관련이 있다고 결론 내릴뿐입니다.

내가 겪었던 문제는 일반적으로 신경 쓰지 않지만 러시아 IP에 의해 많은 타격을 받고 있다는 것입니다 (러시아인은 나쁘지 않지만 사이트는 매우 지역적입니다). wierd (최소 xss / 악의적 인 것은 아님) 값을 쿼리 문자열 매개 변수에 다시 넣습니다.

상황이 좋아하는 &PageNum=-1나 &Brand=25/5/2010 9:04:52 PM.

계속해서 사이트에서 이러한 ips / useragent를 차단하기 전에 현재 진행중인 상황을 이해하는 데 도움이 필요합니다.

어떤 도움이라도 대단히 감사하겠습니다 :)

모든 IP가 특정 범위에 있습니까? 해당 범위가 특정 회사에 할당되어 있습니까? 그렇다면 범위를 할당 한 사람을 찾아서 기술 담당자에게 문의하십시오.

내가 생각할 수있는 가장 가능성이 높은 것은 웹 페이지에서 콘텐츠를 긁어 내거나 콘텐츠를 긁어내는 무언가를 프로그래밍하고 있다는 것입니다 (이상한 경계 조건을 인수로 설명합니다).

그것은 약간 덜 무해한 것일 수 있습니다. 보호하려는 데이터가 무엇인지 알 수 없습니다 (그만한 가치가 있습니다). 그들은 민감한 디버그 정보를 덤프 할 수있는 오류 페이지를 노출하려고 할 수 있습니다. 이 경우 웹앱 방화벽을 설정하는 것이 좋습니다. 이러한 종류의 민감한 오류 메시지 및 기타 남용이 발생하지 않도록하기 위해 만들어졌습니다.

IP 범위를 금지하고 누가 불만을 표시하는지 확인할 수 있습니다. 마지막 수단입니다.

나는 확신이 있다고 생각 하지 않습니다 아파치 시냅스, 그것은 빌드 몇 가지 도구의 아라랏 시냅스 A는, 델파이 TCP / IP 라이브러리. 두 프로젝트에서 소스 코드를 다운로드했으며 아파치 시냅스에는 구성 가능한 사용자 에이전트가 있으며 기본값은 다음과 같습니다.

반면에 Ararat Synapse에는 다음과 같은 기본 사용자 에이전트가 있습니다.

그것은 당신이 당신의 로그에있는 것과 같으며 다양한 SQL 인젝션 공격과 동일한 사용자 에이전트를 가지고 있습니다. 아마도 공격자는 Ararat Synapse 라이브러리와 함께 Delphi에 내장 된 일부 도구를 사용하고있을 것입니다.

나쁜 사람들은 기본 사용자 에이전트를 변경하지 않았으므로 이것을 차단하는 것이 안전하다고 생각합니다.

Mozilla/4.0 (compatible; Synapse)

Apache Synapse에서 실행되는 일부 합법적 인 도구를 차단할 수 있기 때문에 부분적으로는 아닙니다. 합법적 인 봇이나 프로젝트는 사용자 에이전트를 정의하고 기본적으로 숨기지 않을 것이라고 생각합니다.

IP를 차단하는 포인트는 없습니다. 공격은 전 세계의 다양한 IP 주소, 아마도 일부 봇넷에서 온 것 같습니다.

viewstate에 -1을 주입하려고하는 동일한 사람 :

finder-query: -1'

아마도 자동화 된 SQL 인젝션 테스터 도구 일 것입니다.

최근에이 User-Agent가 하나의 IP에서 나오는 것을 보았습니다.

217.35.nn.nn--[21 / Feb / 2012 : 07 : 01 : 22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0"200405 "-" "Mozilla / 4.0 (호환 ; 시냅스) "
217.35.nn.nn--[21 / Feb / 2012 : 08 : 06 : 31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0"200405 "-" "Mozilla / 4.0 (호환 ; 시냅스) "

그것은 상당히 곧 뒤를이었다 확실히 악의적 인 사용자 에이전트 (Havij) :

217.35.nn.nn--[21 / Feb / 2012 : 10 : 44 : 26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1"200 6627 "-" "Mozilla / 4.0 (호환; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "
217.35.nn.nn--[21 / Feb / 2012 : 10 : 44 : 26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1"200 2235 "-" "Mozilla / 4.0 (호환; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij "

그런 다음 SQL 주입을 여러 차례 시도했습니다.

시냅스는 그 자체로는 악의적이지 않지만 데이터 기반 웹 사이트를 조사하는 데 사용되는 것으로 보입니다. 귀하의 웹 사이트에서 다른 사람에게 API를 제공하지 않으면이 사용자 에이전트를 차단합니다. fail2ban에서 apache-badbots 필터를 사용하여이 에이전트 문자열을 사용하려는 IP 주소의 트래픽을 차단할 수 있습니다. 그리고 당신이 거기있는 동안 'Havij'를 거기에 붙이십시오.

보안 응용 프로그램에서 수집 한 7 천 5 백만 건 이상의 요청으로 데이터베이스를 확인했으며 참조 URL이없는 사용자 에이전트 만 발견했습니다.

또한 1 분 이내에 다양한 하위 도메인에 도달하여 일반 방문자가 그렇게 빨리 탐색 할 수 없음을 알 수 있습니다.

나는 그 사용자 에이전트에 대한 요청을 23 개만 계산하므로 사람들을 차단했습니다. 내 사이트의 IP 주소는 다음과 같습니다.

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

이 사용자 에이전트를 검색 한 후 여기에 왔습니다. 다른 IP (91.127.90.220)이지만 동일한 접근 방식-양식의 모든 필드가 차례로 -1 [quote]로 바뀝니다.

내가 본 것 중 유일한 시간이기 때문에 금지가 앞으로 나아가는 데 동의합니다.