Помещение в черный список: IP или домены?
Лучший способ решить эту проблему в окнах 2003 состоит в том, чтобы создать отдельный домен. В Windows 2000 и Windows Server 2003, у Вас могут только быть одна политика паролей, политика локаута учетной записи и аутентификация Kerberos на домен. Если у Вас есть подмножество пользователей в Вашем домене, которые абсолютно требуют другой конфигурации для этих объектов, они должны быть настроены с отдельным доменом. Для конфигурирования политики паролей для домена создайте GPO и свяжите его с доменом или иначе измените существующую доменную политику, которая это уже на месте. Другая опция состоит в том, чтобы обновить до AD сервера 2008 DS, который допускает Мелкомодульные Политики паролей.
Самый легкий подход был бы к ограничению по времени помещением в черный список.
В первый раз IP помещается в DB, установите тайм-аут в течение 3 дней или чего-то.
На subequent представлениях от того IP:
Или что-то подобное этому, SMTP, Greylisting работает что-то вроде этого, и это довольно эффективно.
Хм... это зависит от того, какой бэкенд используется на веб-сайте для примера, существует Плохой плагин Поведения, который используется на установках Wordpress, который делает задание помещения в черный список. Это имеет гибкость, в которой можно поместить в черный список IP, доменом или строкой агента пользователя. Кроме того, я задаюсь вопросом и предполагаю, что Вы имеете в распоряжении капчу?
-
1Между прочим, забыл упоминать веб-сайт для Плохого Поведения... плохой-behavior.ioerror.us – 18 November 2009 в 20:34
Ну, я предполагаю доменом, Вы означаете помещать в черный список адрес электронной почты? поскольку помещение в черный список целого домена могло не пустить НАМНОГО больше пользователей, чем помещение в черный список IP.
я думаю, что пошел бы с IP, хотя я думаю, что Вы - адресация это от неправильной точки.
Чтобы помешать роботам/спам-роботам отправлять, используйте капчу, например, recaptcha довольно хорош (и Вы помогаете оцифровать старые книги при помощи его).
Для не допускания плохих пользователей, ну, в общем, IP может быть довольно легко изменен, поскольку у большинства людей нет фиксированного IP (фиксированный IP обычно стоит дополнительный), таким образом, они просто снова соединяются и хороши для движения, непока Вы не определяете их снова. На самом деле довольно трудно действительно не пустить "злых" пользователей, хотя прием, кажется, чтобы не позволить запрещенному пользователю знать, что они запрещаются, поэтому имейте форму контакта, ведут себя, как будто они не были, что путь это берет их дольше, чтобы понять это и изменить их электронную почту/IP. Но да, почему либо/либо, если Вы могли бы запретить их IP, А ТАКЖЕ их адрес электронной почты?
-
1да это - определенно сильный продукт... ive использование recaptcha... im просто заинтересованный открытием системы немного и исследованием, как сделать систему сильной на моем конце так, чтобы я don' t должны обложить налогом моих пользователей так же.. – johnnietheblack 18 November 2009 в 21:10
-
2другой, хотя намного более сложный, решение мог реализовывать что-то как почтовые спам-фильтры, которые анализируют слова в форме контакта и don' t позволяют пользователям отправить комментарии спама. После Начального периода отмечающих плохих система была бы довольно автономна и you' d просто должны отметить тех, которые проходят. это могло бы быть излишество для Вашего приложения, бит Это shouldn' t быть слишком твердым для реализации простого байесовского фильтра спама. Хотя I' d только reccomend это Вам, если у Вас есть достойное понимание математики :) – 18 November 2009 в 21:36
Определенно запретите IP. Это не решает проблему 100%, но может быть несколько дюйм в секунду на домен и конечно некоторые домены, которые Вы не хотели бы запрещать (Comcast, и т.д.).
Вы намного более в безопасности сделать это на основе IP, и у Вас есть то же разоблачение от одной подсети:
192.168.1.10
192.168.1.25
192.168.1.30
Затем Вы хотите запретить диапазоном:
192.168.1.x
Я не волновался бы слишком много о блокировании большого количества людей, это обычно довольно широко распространено, и Вы найдете большинство своих спаммеров, приезжающих из одной или двух восточноевропейских стран так или иначе.
Я понимаю, что добавляю к этому обсуждению немного поздно, но я взял эту идею шаг дальше и думал, что моя техника могла бы быть полезна для других. Я автоматически блокирую злодеев, но позволяю им разблокировать себя. Тот путь, если общее (или NATted) IP заблокирован, это не является постоянным. Вот то, как:
Я настроил (заданную сценарием) страницу значения по умолчанию в одном или нескольких подкаталогах (папки), заблокированные в robots.txt. Та страница, если загружено неправильно себя ведущим роботом - или шпионящий человек - добавляет их IP-адрес к заблокированному списку. Но у меня есть 403 ("не авторизованный") обработчик ошибок, который перенаправляет, они заблокировали дюйм/с к странице explaing, что идет и содержит капчу, которую человек может использовать для разблокирования IP. Тот путь, если IP заблокирован, потому что один человек использовал его одно время для плохой цели, следующий человек, который получит тот IP, не будет постоянно заблокирован - просто причинил беспокойство немногому. Конечно, если конкретный IP продолжает БЫТЬ ЗАБЛОКИРОВАННЫМ РЕ много, я могу сделать дальнейшие шаги вручную для обращения к этому.
Вот логика:
- Если IP, не заблокированный, предоставляйте доступ обычно.
- Если посетитель перешел к запрещенной области, заблокируйте их IP.
- Если IP заблокирован, перенаправьте весь доступ к "разблокировать" форме, содержащей капчу.
- Если пользователь вручную вводит надлежащую капчу, удалите IP из заблокированного списка (и журнал тот факт).
- Промывка, пена, ПОВТОРЯЕТСЯ выше шагов для дальнейших доступов.
Именно! Один файл сценария, чтобы обработать уведомление блока и разблокировать представление капчи. Одна запись (минимум) в файле robots.txt. Одни 403 перенаправления в htaccess файле.
Надежда это помогает... кому-то. Это работает очень хорошо на меня. Я использую его на нескольких сайтах.