How to ward off unwanted requests oder wie man ungewünschte Zugriffe abwehrt.

[supervisior]

Nach langer Zeit will ich mal wieder ein HowTo darüber schreiben, wie man ungewünschte Zugriffe auf seine Seite abwehrt, wobei man zunächst definieren muss, was den unerwünscht überhaupt ist. Das liegt unweigerlich im Auge des Betrachters. Ich bin in dieser hinsicht ein Hardliner und definiere jeden, außer Kunden und diejenigen, die mir keinen (Suchmaschinen)vorteil einbringen, als unerwünscht, aber wieso könnte es überhaupt ein Interesse oder eine Motivation geben unerwünschte Requests zu blockieren?

Nun, aus den vergangenen 3 Jahren in denen ich ausführliche und pratische Studien betrieben habe, lässt sich sagen, dass mindestens, ich wiederhole mindestens 50% aller Zugriffe keinen natürlichen Ursprung haben. Nicht natürlich bedeutet, dass diese Requests maschinengetrieben waren/sind und nicht einem natürlichen Aufruf entspringen. Ein sehr großer Anteil dieser 50% an Requests erfolgt vermeintlich unter dem Radar. Vermeintlich und unter dem Radar, weil jede Tracking Software davon nichts bekommt. Nichstdestotrotz gibt es Requests, die einen natürlichen Besucher so gut immitieren, dass es schwer sein mag solche Requests zu identifizieren. Beschränkt man die Analyse zunächst darauf, führt die unzureichende Identifikation durch Tracking Software dazu, dass man in den Glauben versetzt wird, dass man eine vermeintlich hohe Zahl an Zugriffen hätte. Als Spoiler vorweg, ihr habt deutlich weniger Zugriffe als ihr glaubt oder Eure Tracking Software Euch glauben lassen will.

Bei diesem HowTo geht es aber weniger darum, wie man unnatürliche Aufrufe identifizieren kann, um die Zugriffsstatistik zu bereinigen, wenngleich dies technisch möglich wäre, sondern es geht darum, wie man unerwünschte Aufrufe im Sinne von schädlichen Aufrufen abwehrt. Schädlich ist es meiner Gesinnung nach alles, was mir einen Schaden zufügen will, keinen praktischen Nutzen für mich hat, auschließlich Traffic erzeugt, ohne dass ich einen Nutzen davon habe und deswegen meine Server Ressourcen beeinträchtigt, mich als Spammer Kandidaten ausspähen will, um über meinen Mail Server Massenmails zu verschicken, irgendwelche Betreiber von Analyse Webseiten und im Zweifeslfalle jeder, der mir keinen unmittelbaren Vorteil einbringt. Wordpress steht auf Grund seiner Popularität im besonderen Fokus. Fast wäre man dazu geneigt zu sagen, dass wenn es Wordpress nicht gäbe, dann hätte ich mindestens 50% weniger Probleme. Zu meinem Glück oder Vorteil, ich nutze Wordpress nicht und das aus gutem Grund, mit Überzeugung.

Will man mehr darüber erfahren, wie man sich der besagten unerwünschten Zugriffe wirkungsvoll entledigen kann und das ohne zusätzliche Software oder als Programmierer? Your Feedback is welcome.

[nerd]

Lieber Freund der digitalen Abstinenz,

vorerst möchte ich mein tiefstes Mitleid für Deine langjährige, ja fast wissenschaftliche Expedition in die Tiefen unerwünschter, botgetriebener Zugriffe zum Ausdruck bringen. Wirklich, ein jeder von uns sollte sich eine Minute nehmen und den Umstand würdigen, dass während dieser Zeit Dein Tee kalt wurde, Deine Zimmerpflanze vertrocknete und Dein Hamster vermutlich im kaefig verhungerte.

Zur Deiner Frage: Einmal abgesehen von der offensichtlichen Lösung, einfach den Stecker zu ziehen und zu hoffen, dass die dunkle Seite des Internets Dich übersieht, schlage ich vor: Lösche Deine Seite. Das würde sicherstellen, dass 100% der maschinengetriebenen Anfragen und vermutlich auch die von lebenden Wesen vermieden werden. Sicherheit kann manchmal so einfach sein.

Ich frage mich dennoch, nach all dem Schreiben ob Deine "Lösung" wieder darauf hinaus läuft, irgendwelche exotischen HTTP-Header mit der aktuellen Mondphase zu vergleichen, weil an Vollmond die Bots besonders aktiv sind?

[staticweb]

> Ich bin in dieser hinsicht ein Hardliner und definiere jeden, außer Kunden und diejenigen, die mir keinen (Suchmaschinen)vorteil einbringen, als unerwünscht, ...

Das zu 100% zuzuordnen halte ich schon für Wunschdenken.

> Wordpress steht auf Grund seiner Popularität im besonderen Fokus. Fast wäre man dazu geneigt zu sagen, dass wenn es Wordpress nicht gäbe, dann hätte ich mindestens 50% weniger Probleme.

Was ist das für eine Aussage. Nur weil es beliebt ist, ist es problematisch. Ich glaube hier verwechselst du was.

[Hanzo2012]

Will man mehr darüber erfahren, wie man sich der besagten unerwünschten Zugriffe wirkungsvoll entledigen kann und das ohne zusätzliche Software oder als Programmierer? Your Feedback is welcome.

Na dann lass mal hören!
(deinen vorherigen Vorschlag mit den Sec-Fetch-Headern habe ich über längere Zeit getestet, aber letztlich nicht umgesetzt, da diese Header aus mir unbekannten Gründen auch bei einem gewissen Prozentsatz von Besuchern fehlten, die mit ziemlicher Sicherheit echte Menschen waren ...)

[supervisior]

Der Menge an Kommentaren zufolge und deren augenscheinliche Meinung darüber, ob ich fortfahren soll, spricht das Verhältnis im Moment dagegen, dass ich weitere Zeit verschwende.

@nerd
Nachdem ich die Eloquenz deiner Ausführungen so nicht kenne, muss ich unweigerlich daraus schließen, dass Du ein Fan von ChatGPT geworden und zu faul geworden bist, um Dir selbst noch einen Kommentar auszudenken. Deswegen steck Dir einen deiner 10 Finger dorthin wo die Sonne nie scheint. Frag mal deinen Ghostwriter, ob er die Stelle kennt.

@HanzoDingenskirchen
Das Du die Sache so angehst, hätte ich nicht erwartet. Wenn Du falsch positive Resultate erhältst, dann muss das unweigerlich daraus resultieren, dass Du keine Whitelist definiert hast, die unweigerlich notwendig ist. Ich kann Dir dazu nur sagen, dass es bei mir nur 1 Art von Requests und Urheber dieses Requests gibt, die ich bislang noch nicht ausfiltern konnte. Das hat aber nur damit was zu tun, dass man bei gecachten Seiten kein PHP ausführen kann, allerdings hatte ich heute Morgen beim morgendlichen Sch**** eine göttliche Eingabe.

[Hanzo2012]

Wenn Du falsch positive Resultate erhältst, dann muss das unweigerlich daraus resultieren, dass Du keine Whitelist definiert hast, die unweigerlich notwendig ist.

Nein. Es handelte sich um Besucher, die laut User Agent einen modernen Browser benutzten, der diese Sec-Fetch-Header senden sollte. Aber die Header wurden nicht mitgesendet. Und die Eingaben, die diese Besucher tätigen, haben mich davon überzeugt, dass es sich um echte Menschen handelte.

[supervisior]

Nach Adam Riese ist das nicht möglich, weil der einzige Browser, der die besagten Header nicht sendet der Safari Browser ist. Alle anderen, und die müssen nicht zwangsläufig topaktuell sein, senden diese Header.

[nerd]

@nerd
Nachdem ich die Eloquenz deiner Ausführungen so nicht kenne, muss ich unweigerlich daraus schließen, dass Du ein Fan von ChatGPT geworden und zu faul geworden bist, um Dir selbst noch einen Kommentar auszudenken. Deswegen steck Dir einen deiner 10 Finger dorthin wo die Sonne nie scheint. Frag mal deinen Ghostwriter, ob er die Stelle kennt.

Ja klar nutze ich zur beantwortung DEINER fragen chatGPT. Waum sollte ich mir auch dein 2-seitiges geschwafel mit der kernaussage "aetsch - ich weis ja wie man poese pots plockt, verrate es euch aber nicht!!1!" selbst durchlesen?

Deinen forenbeitraege sind heisse luft oder beschaeftigungstherapie fuer dich selbst. Alles was von dir an beitraegen kommt sind gegenfragen, sinnfragen, ablenkung oder (siehe oben) beleidigungen, ohne dich je konstruktiv mit dem eigentlichen thema des ursprungsposters auseinanderzusetzten. Bist du auf facebook gesperrt, oder warum lebst du deine zwangsneurose der krankhaften forenpostings gerade in einem seo-forum aus?

[supervisior]

Das zu 100% zuzuordnen halte ich schon für Wunschdenken.

Sorry, deine Kommentare habe ich doch glatt übersehen. Was mein Wunschdenken ist, kann Dir doch herzlich egal sein. Mit dem Abstreiten, dass ich mir was wünsche würde, mischt Du dich in meine geistige Freiheit ein, also maße Dir so etwas nicht an.

Was ist das für eine Aussage. Nur weil es beliebt ist, ist es problematisch. Ich glaube hier verwechselst du was.

Wo liegt das Problem? Meine Aussage folgt schlussendlich nur der Logik eines bösen Buben. Warum sollte ich als möglicher böser Bube ein Interesse an einem CMS haben, das nur spärlich genutzt wird. Es ist doch viel rentabler nach etwas suchen das weitverbreitet ist und das ist bei WordPress nun mal der Fall. Von etwas verwechseln kann deswegen überhaupt nicht die Rede sein. Welcher Logik folgst Du denn?

[Hanzo2012]

Nach Adam Riese ist das nicht möglich, weil der einzige Browser, der die besagten Header nicht sendet der Safari Browser ist. Alle anderen, und die müssen nicht zwangsläufig topaktuell sein, senden diese Header.

Tja, was soll ich sagen - es war halt so.
Mögliche Erklärung ist, dass auch echte Menschen, die nix Böses vorhaben, Plugins oder Browser nutzen können, die einen anderen (z. B. zufälligen) User Agent vorgaukeln oder in ihren Augen unnötige Header weglassen. Und dann funktioniert das ganze Konzept nicht mehr.
Du sagst jetzt wahrscheinlich "Auf diese User kann ich verzichten, die haben halt Pech gehabt!". Aber nicht jeder denkt so.

[supervisior]

Tja, was soll ich sagen - es war halt so.
Mögliche Erklärung ist, dass auch echte Menschen, die nix Böses vorhaben, Plugins nutzen können, die einen anderen User Agent vorgaukeln oder in ihren Augen unnötige Header entfernen. Und dann funktioniert das ganze Konzept nicht mehr.
Du sagst jetzt wahrscheinlich "Auf diese User kann ich verzichten, die haben halt Pech gehabt!". Aber nicht jeder denkt so.

Nein, das würde ich weder sagen noch so machen, aber deine Handlungsweise lässt daraus schließen, dass deine Whitelist oder die Methodik, die dafür anwendest einen Makel haben könnte, um das mal vorsichtig auszudrücken. Ich habe eine Fehlerrate, die deutlich unter 1% liegt, aufs Monat gerechnet. Wie komme ich darauf? Nun, wenn ich falsch positive Ergebnisse habe, dann werfe ich einen Blick in die access_log. Wenn der oder die Betreffende außer dem Hauptdokument noch die dazugehörigen statischen Sourcen läd oder nicht, dann lässt sich daraus mit 99,99%iger Wahrscheinlichkeit sagen, ob der Request natürlich oder unnatürlich war. Die restlichen 0,01% gehen auf das Konto von genau den Requests für die ich bis jetzt noch keinen Weg gefunden habe, wie ich diesen von anderen unterscheiden kann. Aber das hat nur was mit dem Cachen und PHP zu tun.

[Hanzo2012]

deine Handlungsweise lässt daraus schließen, dass deine Whitelist oder die Methodik, die dafür anwendest einen Makel haben könnte

Meine Methodik zum Testen war: Ich logge alle User, die laut User Agent einen Browser nutzen, der die Sec-Fetch-Header senden sollte (also Chrome ab Version xxx, Firefox ab Version yyy, ...), wo die Header jedoch fehlen. Das wären die User, die man potenziell blockieren würde. Dann habe ich mir angeschaut, was diese User gemacht haben, und ein - für meinen Geschmack - zu hoher Anteil davon hat mit meiner Seite so interagiert, wie ein echter Mensch es tun würde (es handelt sich um eine interaktive Seite).

Ich habe eine Fehlerrate, die deutlich unter 1% liegt, aufs Monat gerechnet. Wie komme ich darauf? Nun, wenn ich falsch positive Ergebnisse habe, dann werfe ich einen Blick in die access_log. Wenn der oder die Betreffende außer dem Hauptdokument noch die dazugehörigen statischen Sourcen läd oder nicht

Wenn die statischen Sourcen im Browser-Cache gespeichert sind und noch nicht zu alt sind, dann ist das vielleicht der Grund, warum diese nicht erneut geladen werden?

[supervisior]

Was meinst du mit loggen? Einfach nur den User-Agent oder/und auch die Request Header? Letzteres wäre die notwendige Methode.

Natürlich wäre eine Bewertung fehlerhaft und unvollständig, wenn man bei jedem Request mit gleicher IP nach den statischen Sourcen sehen würde. Deswegen ist auch nur der erste Request von Bedeutung und der reicht ja bereits.

[Hanzo2012]

Was meinst du mit loggen? Einfach nur den User-Agent oder/und auch die Request Header? Letzteres wäre die notwendige Methode.

Alles wurde geloggt (IP, Request-URL, sämtliche Header).

Natürlich wäre eine Bewertung fehlerhaft und unvollständig, wenn man bei jedem Request mit gleicher IP nach den statischen Sourcen sehen würde. Deswegen ist auch nur der erste Request von Bedeutung und der reicht ja bereits.

IPs können sich ändern, insbesondere bei Mobilfunk. Ein User könnte deine Seite mit IP x zum ersten Mal besuchen und die statischen Ressourcen in seinen Browser-Cache laden. Dann kriegt er eine neue IP y und lädt die nächste Seite, wobei er die statischen Ressourcen nicht mehr laden muss. Könnte auch erst Tage später passieren.

[supervisior]

Wir reden hier von 1 Session und während dieser 1 Session wird sich wohl sehr unwahrscheinlich die IP ändern, wenngleich nicht gänzlich ausgeschlossen. Allerdings akzeptieren gut gemachte CMS keine gleichbleibende Session, wenn sich während der Session die IP ändert.

Ich kann mich aber nur wiederholen, bei mir funktioniert das, wobei ich über mehrere Monate erstmal einen Probelauf hatte und dazu nach dem vermeintlich gleichen Schema wie Du 2 Logfiles hatte. In das eine Logfile kamen die Requests mit den Sec-fetch Headern und in das andere Logfile, die ohne diese Header und basierend darauf habe ich die Filter definiert, bzw. optimiert. Der User-Agent spielt dabei eine unwesentliche Rolle, eben weil fehleranfällig.