HOW TO : Comment combattre les robots malicieux (bad bots)?

Que sont les (ro)bots ?

Un bot (informatique) est un agent logiciel automatique ou semi-automatique qui interagit avec des serveurs informatiques. Un bot se connecte et interagit avec le serveur comme un programme client utilisé par un humain, d’où le terme « bot », qui est la contraction « robot ».
Source : Wikipedia

botsSelon des estimations, plus de la moitié du trafic d’un site Web viendrait de robots. Naturellement, moins le site a de trafic humain (de fréquentation naturelle), plus la part de trafic occupée par les robots est importante.
Parmi ces robots, certains sont des robots de référencement (le fameux google bot et d’autres), quand d’autres sont malicieux, leur objectif étant d’aspirer les données, poster des commentaires redirigeant vers des sites malveillants ou promotionnels, voire trouver des vulnérabilités et les exploiter.
Au total, c’est un quart du trafic qui vient de ces robots malicieux !
Source : Distil Networks.

Outre la dangerosité de ces robots, c’est aussi une consommation de ressources (bande passante, serveurs Web, etc) inutiles, polluant les utilisateurs légitimes.
Alors comment s’en débarrasser ?

Différencier le trafic humain des robots

Afficher l'image d'origine

Afin de prioriser ou même n’autoriser que le trafic humain, plusieurs méthodes peuvent être utilisées (voire combinées !).

Tirer profit d’un flux d’informations spécialisé : Webroot

Fin 2015, DenyAll a intégré le flux de réputation IP de Webroot, apportant ainsi une liste dynamique (mise à jour toutes les 5mn) de millions d’adresses IP malicieuses, catégorisées selon qu’elles correspondent à des spammers, des proxies anonymes, botnets, scanners, etc.
Voir le communiqué de presse pour plus d’informations.

Son utilisation est simple : à partir de l’IP source de la requête, on obtient un score de confiance par Webroot, qui peut être ensuite utilisé de nombreuses différentes manières. Outre le blocage immédiat des IP malicieuses, on peut imaginer restreindre la vélocité de ce trafic (avec le request limiter), le rediriger ou le piéger dans un honeypot, proposer un captcha, différencier l’authentification (ajouter un OTP en cas de mauvaise réputation), etc.
Notre Webinaire du 16 février détaille plusieurs cas d’usage classiques.

Eliminer les robots simple(t)s

Le rapport de Distil Networks nous apprend que parmi ces robots, la grande majorité a un fonctionnement basique et n’émule pas la diversité de comportement d’un humain, ni les fonctionnalités d’un navigateur (en termes de stockage de cookies, d’exécution javascript, etc).
On peut donc simplement en éliminer une bonne partie en testant le support des cookies, comme décrit dans notre documentation en ligne.

Eliminer les scanners automatiques

En combinant le moteur de sécurité ICX avec un request limiter, on arrive à identifier ces robots car leur cadence et le contenu malicieux des requêtes ne trompe pas !
Voir notre documentation en ligne pour plus d’informations.
La plupart utilisent aussi des entêtes par défaut qui peuvent donc être identifiés et rejetés. Par exemple, Acunetix utilise “acunetix” ou “wvs” comme user agent ou un entête « Acunetix-Product », McAfee utilise « scanalert », Havij utilise « Havij », pareil pour Sucuri, etc.

Le cas particulier des fuzzers peut aussi être adressé en examinant le nombre d’erreurs 404 par minute typiquement.

Vincent Maury, Chief Technology Officer on LinkedinVincent Maury, Chief Technology Officer on Twitter
Vincent Maury, Chief Technology Officer
Vincent est notre directeur technique bien aimé. C’est un entrepreneur né et un passionné de la sécurité. Les produits et services qu’il développe ont tous 1# commun : faire en sorte que les utilisateurs puissent protéger leur actifs informatiques de la manière la plus simple possible.
Paste your AdWords Remarketing code here

En continuant à naviguer sur notre site Web, vous acceptez l'utilisation de cookies pour : (i) le fonctionnement et l'interactivité de notre site, (ii) la mesure de l'audience de notre site et l'analyse de votre navigation. Pour de plus amples informations, veuillez consulter notre Politique de cookies. En savoir plus

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close