为什么以及为什么我的网站被滥用？

#1 楼

有趣的问题。我想知道是否可以通过强制用户的Web浏览器解决加密问题（使用在其Web浏览器中运行的javascript）来解决这个“难”但对于您的站点来说“容易”的解决方案。 “难以解决”是指用典型的台式机或笔记本电脑的资源解决大约10秒钟的问题。这个问题类似于比特币矿工在开采新区块时解决的问题，但是规模当然要简单得多。

您的合法用户不会注意到其中的区别，因为脚本在填充时会逐渐消失删除您网站上的表格。但是，这将大大降低滥用者的速度，并迫使他们分配更多的资源，并迫使他们重新使用他们用来自动将这些信息发布到您网站的任何工具。

#2 楼

租用僵尸网络和验证码农场。
为什么？
有人想要您的数据。盗窃比买便宜。
怎么办？
偷东西便宜，但不是免费的。进行这些攻击需要“他们”（最终想要数据的人，而不是僵尸网络或验证码农场的人）的钱。使攻击您的成本超过数据价值。


识别模式以识别垃圾邮件发送者。


返回合法外观，但虚假数据到垃圾邮件发送者。


经过一定数量的有效响应后，开始将虚假数据与有效数据进行散布。然后，他们必须采取额外的步骤来验证您的数据。这些额外的步骤会花费额外的钱。
如果他们不对其进行验证，那么他们的数据就没那么有用了，也就是说价值更低。他们也许仍然可以使用或出售它，但是它的价值不高，因此再次攻击您的成本要高于返回的价值。

#3 楼

您所做的CAPTCHA错误。

CAPTCHA的想法是使计算机难以解决（很难读到“几乎是不可能的”），但对于人类来说却很容易做到。一个静态图像，例如要求输入4，则计算机将根据指示反复输入4，不会出现任何问题。问题已经解决，无需重新设计轮子，如下所示：



CC-BY-NC 2.5，Randall Munroe，xkcd.com / 2140 /

#4 楼

如果您可以设置一个简单的“在此图片中键入数字”验证码并将其粘贴24小时，则说明您的敌人是业余爱好者。您知道这种涉及定制代码的原始设备会使它们减速24小时。这可能很有趣：)
我会大量使用样式表来隐藏页面代码中的信息：从两种意义上讲，第一种是隐藏验证码，第二种是隐藏信息性答案。为了以可悲的方式误导刮板。
我会在服务器端编写一些代码来创建假冒的答案，乍一看似乎是可信的，但是以不容易确认的方式成为电话。此外，请使用随机种子或MD5来确保相同的输入始终给出相同的语音答案。
在CAPTCHAs上存在误导性：
例如，保留您使用的最后一个CAPTCHA系统，但使用样式表将其隐藏。跟随另一个被Javascript混淆的验证码；也许甚至还有另一个具有不同键的reCaptcha。
现在，抓取工具将不会意识到样式表会抑制第一个CAPTCHA。它将很乐意解决验证码并使用错误的密钥返回答案。知道了但是，就像破解Enigma一样，您无法清楚地看到已经破坏了代码。
误解答案：
正常显示答案，并附带一个样式表。样式表对普通人隐藏了此结果；刮板不会注意到此纸张具有“隐藏”属性。您在这里提出的答案是假的。然后提出真实的结果。对于奖励积分，请在图形中显示结果，以使其无法抓取。
如果您遥测（解决了错误的CAPTCHA）这是一项不符合条件的查询，那么甚至不必费心从服务提供商那里购买该查询结果。在服务提供商通常需要的时间范围内插入睡眠（t +随机），然后发送假答案。
看起来很正常
攻击者会相信一切正常，只会检查查询是否成功，而不是结果的质量。幸运的是，您的攻击者不会在每次查询时记录日志，而只是将答案转储到数据库中。攻击者可能需要很长时间才能意识到您已经毒化了数据，到那时，整个数据库将被破坏，不知道哪些条目是有效的，哪些是毒害的（请参阅使假数据看起来合法的重要性？）即使攻击者在每个条目上都打上了时间戳，这还是一个错误的搜寻！每天必须手动检查几个条目来确定数据何时变坏。
还有另一件事。缓存真实答案，如果僵尸网络查询在缓存中，请始终从缓存中给出正确答案。因此，疑难解答工具会使用浏览器访问您的真实网站，并要求提供测试号码213-456-7890。隐藏将起作用，并且其行为将类似于真实查询，因此您将计算出真实答案并将其返回。接下来，抓取工具将告诉僵尸网络请求213-456-7890。看看机器人是否得到了不同的结果。您将检测到机器人查询。如果您现在给出的答案是假的，则抓取工具知道夹具已安装好，并且会在中断检测结果时进行迭代。因此，由于您在缓存中拥有真正的答案，因此即使在隐藏字段中也要给出答案。现在，抓取工具很困惑：僵尸网络似乎可以正常工作。

为什么以及如何
显然有人发现您的数据很有价值。他们会从您的来源获得它，但是他们不想为此付费，所以他们在抓捕您。

他们实际上可能是一个竞争对手的网站，可以做与您相同的事情，当他们从访问者那里得到查询时，就会向您生成查询。本质上，这是使用您的服务但张贴他们的广告的方案。您自己知道其价值。您可以通过在每个竞争对手的站点上进行晦涩难懂的查询来进行测试，并查看日志中弹出了哪些查询。

有无数种方法来解决验证码问题。在竞争对手网站为您的客户提取您的数据的示例中，他们可能只是将您的验证码传递给了他们的客户。还有一些方法可以诱骗用户为您执行验证码，例如“解决使验证码获得免费色情内容”，或者通过提供出于某种原因需要验证码的无关服务，例如匿名公告栏。每当有人发帖时，它都会向您发送查询并获取其发帖人来解决您的验证码。在第三世界中也有CAPTCHA在本质上解决奴隶制问题。

#5 楼

为什么？
在合法和地下市场中，与电话号码，姓名和电子邮件地址相关的数据都非常有价值。

如何？
听起来好像有人在使用僵尸网络从您那里挖掘数据。这可能意味着从几十个分布在全球的IP到数千个IP之间的连接。
我个人不知道它们如何处理reCapchas，除了使用来自提供capcha解决服务的站点的人工之外。所有这些都以一种或另一种方式使他们付出了金钱。

解决方案？免责声明：我不是安全专家。
一些免费服务在经过一定数量的查询后会使用排队系统。假设您不希望系统过载，那么您一次最多可以允许30个请求（或系统可以轻松管理的并发请求数量）。在队列已满时发出的请求会得到一条消息，说明服务器正忙，或者要么稍后再试，要么自动排队。
此解决方案并非没有问题，因为您的合法客户端有时会必须等待送达，特别是在高峰时段或在攻击期间。

您提到更改capcha方法可以暂时阻止攻击。也许有一种方法可以将每个访问者的capcha方法与每个请求随机地交替使用？至少，攻击者必须重写一些方法。在最佳情况下，其成功的攻击将除以您采用的不同方法的数量。

#6 楼

他们的动机可能仅仅是他们自己在构建类似的服务并需要数据。您的服务可能就是他们发现并需要抓取的数据源之一。

您是否尝试过限制请求的速率？您说您每分钟获得数百分钟（假设使用相同的IP地址），那么您是否无法记录这些请求，在合理的时间段内检测到重复访问者，然后暂时禁用某个时间段的IP？

您还可以在表单中添加“蜜罐”表单元素。 Honeypot表单元素对geniune用户是隐藏的，但是会被机器人自动填充。这些字段中包含数据的任何请求都将被自动丢弃甚至被禁止。

#7 楼

不要使用一个验证码解决方案，而是全部使用它！

既然您已经有多个不同的验证码，为什么不每两个小时甚至每个请求一次（随机）旋转它们呢？即使从理论上讲，攻击者都已将其全部破解，但他们需要检测验证码的类型本身就是解决计算机问题的另一种验证码（虽然完全不影响人类）。

还可能包括一些愚蠢的问题，例如诸如“您再次查找什么电话号码”之类的验证码等。越随机的内容对于机器人越难做到。

尤其是如果您使用不同的学科（图像识别，阅读数字，数学，一般知识）知识，等等）后尘者将很难跟进。

您不需要完美地胜过它们，您只需要使其不再值得他们浪费时间。

编辑：这还需要定期添加新的验证码类型

#8 楼

因此，我试图了解他们的动机以及他们如何实现这一目标，以便能够进行适当的反击。


还可能使用代理来访问您的服务。只是google for open proxy list会返回一些显示开放代理的站点，这些站点也可以用来屏蔽客户端的ip地址。

我建议在服务器端记录HTTP标头X-Forwarded-For和Via一段时间，然后检查是否可能使用此类代理来滥用您的系统。
请注意，一般来说使用代理服务器是合法的，但是可能会有一些有趣的模式，例如，X-Forwarded-For包含客户端的IP地址，Via包含链中代理的IP（如果有）。如果您看到相同的代理在攻击期内被一遍又一遍地使用。

#9 楼

我不认为这是一个完整的答案。我是说在类似的情况下该怎么做。


记录查询。他们的查询中是否有任何模式？例如，特定国家或地区。如果他们确实在使用结果，则必须有一种模式。如果没有，我会考虑使用数字2。

您说过，当更改验证码类型和技术时，攻击会停止大约24小时。我是这样写的：

当我奋战10分钟的工作时间时，我会伤害对手24小时的工作时间。

所以您要做的就是继续破坏他们的时间并坚持下去。它会使这样做的人感到疲倦，并且您可以确定他们是第一个停止战斗的人。获胜的实际几率是-> 1-（10/1440）

这不是一个真正的解决方案，相反，这是我在进入第3位之前要考虑的事情。

请记住，他们可能会在下个月或六个月后回来，但现在他们知道您一直在反击，而损失却很少。

您甚至可以为他们争取有点困难，例如，一天中有3个以上的查询，要求用户输入2种验证码。排在第十位之后，系统的死忠就更多了，以至于您的真正访客不会意识到这一点。

很遗憾，但是使用了授权。甚至您也可以选择使前n个（n <10）查询异常可用，但超过此数量需要登录。

#10 楼

我制定了联系表格，滥用者已经尝试滥用一年多了，但一直失败。

我的方法包括以下几种组合：


每个必需的字段都会验证它是否触发ajax调用，该调用会检索随机存储在表单验证db表中的新的32-48个字符随机生成的字段名称。然后，在提交表单时，输入的字段名称不是由服务器生成的，或者具有原始字段名称的字段将触发登录db远程IP地址以及他们提交的与表单提交有关的内容。一旦更改了字段名称，任何具有原始字段名称的提交都将被检测为滥用行为，并进行相应的处理。
它们必须在页面上，每个必填字段的显示时间至少为1.3秒，并且所有字段都必须在删除提交按钮禁用属性并至少使用新ajax调用或从先前ajax字段名称调用收到的名称和/或值更改提交输入的名称之前进行验证。在服务器上进行表单验证期间，按钮名称和值必须匹配，否则将检测到滥用并进行相应的处理。
我将所有提交记录到db并用DENY目标标记滥用，一旦他们滥用了我的表单，它们将永久存在被阻止，甚至无法访问表单页面，并且在记录了尝试的访问后被直接重定向到403响应。
在进行一个ajax调用期间，有时我会随机生成一个新字段和值，并在提交前将其附加到表单中并且必须存在，否则提交内容将无法通过验证，将被检测为滥用。
您可以包括蜜罐字段，但不要隐藏将被检测到的字段对象。如果要隐藏字段，请隐藏父对象。您也可以将其绝对放置在远处。进入服务器的任何带有任何类型值的蜜罐字段都将被检测为滥用并以这种方式进行处理。

请确保记录所有提交，以便您监视旨在规避的新模式您的安全。