cUrl užklausų IP blokavimas

Sveiki,

Sukūriau naršyklinį žaidimą ir, žinoma, susilaukiau vadinamųjų "botų" kūrėjų. Blokuoti juos kol kas nėra sudėtinga. Pažiūri access log'ą, gauni IP ir blokuoji, tačiau tai gan varginantis darbas. Galbūt kur nors interneto platybėse yra hostingo tiekėjų sąrašas su IP adresais? IP galima gauti ir per tracert, bet jeigu jų bus daug, tai užims daug laiko. Laukiu atsakymų, o gal būt netgi geresnių patarimų.:)

Sveiki,

 

Sukūriau naršyklinį žaidimą ir, žinoma, susilaukiau vadinamųjų "botų" kūrėjų. Blokuoti juos kol kas nėra sudėtinga. Pažiūri access log'ą, gauni IP ir blokuoji, tačiau tai gan varginantis darbas. Galbūt kur nors interneto platybėse yra hostingo tiekėjų sąrašas su IP adresais? IP galima gauti ir per tracert, bet jeigu jų bus daug, tai užims daug laiko. Laukiu atsakymų, o gal būt netgi geresnių patarimų.:)

Visu vistiek nesugaudysi. O, pagal ka tu juos atskiri dabar? Tipo per whois'a paziuri kieno ip'as?

Dabar dažnai per PM pamatau, kad parašo adresą, tai to hosting'o tiekėjo ip ir blokuoju.

Pirmas punktas, kurio reikėtų imtis prieš IP - tai blokavimas pagal User-Agent(o pamačius tokį, kartu ir IP iš kurio atėjo su tuo user-agent). O realiai su IP, tai nieko gero nesužaisi, nes tie hostingai vieni po kito dygsta kaip grybai po lietaus.

Ir kokį gi man user-agent blokuoti? Gi galima su curl ir jį suklastoti.

Nei referrer, nei cookie, nei autorizacijos, nei user agent tikrinimas nepadės. cURL puikiai moka su tuo susitvarkyti.

Vienintelis kažkiek patikimas būdas apsisaugoti nuo botų -- CAPTCHA. Arba koks nors protingas paprastas captcha analogas.

Tačiau jis taip pat turi būti neįkyrus ir vietoje, o žaidimas orientuotas į mobiliuosius telefonus...

Gal pagelbės:

If you are worried about protecting a form, you can generate a random token which is submitted automatically when the form is submitted. That way, anyone who tries to make a script to automate registration will have to worry about scraping it first.

Nepagelbės. Pačiam kartą teko apeiti sistemą su tokiu dalyku, 15 minučių darbo ir viskas.

Gal pagelbės:

 

 

Tikrai nepagelbės, tik boto kūrėjui pridės papildomą requestą

O jei taip:

There is one weakness in CURL, which you can exploit, it can not run javascript like a browser. So you can take advantage of this fact, one first landing on the reg page, have your server side code check for a cookie, if it isnt there, send some javascript code to the browser, this code will set the cookie and do a redirect/reload ... after reload the server side again checks for the cookie, incase of browsers it will find it.. incase of curl the cookie generation and reload/redirect wont happen in the first place.

Bet puslapis mobiliesiems... Kokie dar JS?:)

Tai rodos nuo cURL'o botų efektyvios apsaugos lyg ir nėra :huh:

Na tai padarai registraciją, prisijungimą patvirtinamą su SMS, kiekvieną veiksmą - dar ir skambučiu...

Šiaip dabar visi smartfonai palaiko javascript bent nuo 1.2 versijos, įskaitant darbą su cookies ir XMLHttpRequest. Bet man niekas nesutrukdys paleisti scriptą ant localhosto arba windows serverio ir panaudoti com js parser'į :) Visos apsaugos atsiremia tik į tai kiek laiko užtruks parašyti scriptą kad jas apeiti. O automatizacija tai galingas ginklas žmonėms siekiantiems tikslo ir taupantiems savo laiką.