u盘装系统 http://bbs.wuyou.net/forum.php?m ... &fromuid=463955 这里全部都是广告外链。 |
本帖最后由 不点 于 2013-6-8 16:41 编辑 看来好事没那么容易得到啊!今天中午,Linux 区又被塞满了。 DOS 区也塞满了。 |
有敌人不是新鲜事吧? 利益相同者,构成朋友,利益相违者,构成敌人。 世上没有绝对的东西,因此,“没有任何的利益” 也不是绝对的。 利益很可能就在你看不见的地方。你看不见,不等于不存在。 还有这样的可能性,你自己认为没有与谁为敌,但不等于说,别人不把你当成敌人。注意,这可是关键的概念。 比如说,你与某个 PLMM 相好了,或者结婚了,你自己以为你一直是 “与人为善” 的,你没有 “敌人”。殊不知,在你不知道的事情背后,可能有人正在设法拆散你们呢!一句话,你认为你没有敌人,别人不这么认为。 现实生活中还有很多类似的事情。发生在我身边的一个实例:某人自以为很善良,然而他不经意间伤害了太多的人,导致许多人都在背地里说他的坏话。他自己竟然全然不知。他把周围的人全都得罪了,自己竟然毫无察觉,这看起来确实不像是真的,然而令人难以置信的事情,它发生了,这也不足为怪。其他人也会犯类似的错误,但可能没这么严重。 |
还有一点,稍稍离题远一点。 就是,网站维护者还应该猜测攻击者是谁。是谁长期跟踪攻击你这个网站,难道你猜不到?谷歌难道不知道谁是它的对手?微软不知道谁是它的敌人?的确,要准确猜测攻击者是谁,可能也不容易。但是,长期不间断的攻击,难道丝毫都暴露不出攻击者的身份? 你再想想,是谁攻击了 “中国 DOS 联盟”,让它基本上处于瘫痪和死掉?是谁跟它有这么大的利益冲突?有这么大的仇恨?是谁长期跟踪攻击 grub4dos 的主站 “时空论坛” 以及 grub4dos 的项目空间? 如果知道是谁攻击了,对于防守也是有帮助的。比如你可以半公开地揭穿它,它也害怕。就算你不敢揭穿它,你也知道它的攻击是厉害的,不是一般的攻击,那么你防守的时候,采用的防守手段也就更加强硬和牢固,投入的防守力量和防守资金也就相应地加大。 |
本帖最后由 不点 于 2013-6-6 10:41 编辑 攻击者是程序员高手,这些年来,论坛程序不断更改,然而攻击是依旧的。说明攻击一旦失效,攻击者的攻击手段也要变化。这就是高手之间的较量。弱者肯定被打垮,毫无疑问了。如果没有程序员高手,你甭想指望普通的管理手段可以抵挡攻击。世上没有做不到,只有不努力和不去做。 记得我以前说过,那些塞满首页的广告根本不是广告,而是攻击。广告和攻击的差别,管理员可能都没认识清楚。 广告的目的仅仅是广而告之,它怎么会发在论坛讨论区的首页让管理员很快就干掉呢?因此,显然不是广而告之的目的。这就很清楚是攻击了。 还有人举报某个帖子的压缩包中含有广告,我就觉得这是没什么意义的。那样的广告形式,不构成攻击,其性质是不同的。管理员要是不清楚什么是广告,什么是攻击,这样的管理就是一盆浆糊,一团乱麻、一塌糊涂,你就不能判断什么该饶过、该宽恕,而什么必须严打。 后来有大量的 “嗯,啊,顶,好帖” 之类的垃圾,目的是不引起管理员的注意,而把论坛搞瘫痪。看到没有?它改变攻击方法了,它不再用广告了!但攻击的目的没有变。这也从一个侧面说明了,那些塞满首页的广告,根本不是广告,而是攻击。 |
验证码不是验证普通帖子的,而是验证攻击者的没有攻击特征的普通会员,不会进入验证页面。只要攻击者符合事先设定的条件和特征,就对他进行验证。条件也随着攻击方式的改变而改变,这条件可以由管理员来设定和改变。即便攻击者是人,验证他的时候,总让他提供手机号,这对他来说也是一件不爽的事情。他无法用同一手机号来验证多个账户,因为系统拒绝他这么做。如果你没有攻击者的特征,系统不会要求你用手机号进行验证,不会询问你的手机号。而对于攻击者(有攻击特征的用户),要求他们不得使用相同的手机号来进行验证。 DZ本身貌似做不到~不知道是否有插件能够实现你的说法~ |
本帖最后由 不点 于 2013-6-5 17:55 编辑 俗话说,办法总比问题多。 我还有一个主意。这次不需要论坛程序本身有太多的完善,但需要论坛会员的举报以及版主及时响应举报。 无论是不是机器人,无论是不是正常会员,统统不允许回复 “赞!” “顶!” “好帖!”之类的帖子,广告内容以及广告链接更不允许。凡是与讨论主题关系不大的帖子,都属于违规。这类帖子本身就没有太大价值。只要有人举报,版主就应该删除此类帖子,同时以 10 倍于每发一个帖子得分的罚分扣除发帖者的总分(如果没人举报,那就可以饶恕)。同一个发帖者,第二次犯规,加倍扣分,即,扣 20 倍的罚分。第三次犯规,扣 40 倍的罚分,依此类推,犯规次数越多,扣分的幅度也越大。当会员的总分数为负数时,就要启动验证页面,或者根本不需要验证,直接删除会员帐户。如果版主发现有人胡乱举报,故意捣乱,当然可以直接删除这个故意捣乱的会员帐户。扣分是程序自动进行的,版主只需要删帖便可,这样可以减少版主的劳动量。 |
本帖最后由 不点 于 2013-6-5 15:27 编辑 现在的攻击者,根本都不伪装,直接发垃圾帖子。特征很容易找。垃圾帖子的内容很短,内容全都雷同,比如 “这个帖子太精彩了,不顶不行”。也有的是纯粹的、随便拼凑的垃圾文字,无法理解。不过,共同的特征是,语言文字偏少。 如果编程判断比较困难,还可以动用会员监督的力量。正常的会员看到垃圾帖子,心中肯定不高兴,于是他就可能要举报。如果一个用户被举报的次数很多,程序据此就可以判断这可能是个攻击者,于是就要求它验证。 维护网站本来就需要程序员,不用找,维护者自己就是程序员。如果维护者不能随着攻击的变化而修正自己的程序,如果程序是死的、“一劳永逸” 的,那样根本不行。因为你的程序是死的,但攻击者是不断变化的,那样你的程序就废了,于是攻击者就 “畅通无阻、大行其道、游刃有余、肆意攻击”。 |
本帖最后由 不点 于 2013-6-5 16:00 编辑 攻防是无止境的。道高一尺,魔高一丈。但是,安全总比不安全好。为什么你的门要上锁?既然世界上有小偷,而且没有一个万能的锁可以阻止任何小偷进入,那么为什么人们还是要上锁呢?而且只是用普通的锁就可以了,为什么?因为实践中不需要太复杂的锁。 无线路由器的 WPS 漏洞补上之后,再用 PIN 的方法就无效了。目前只剩下抓包跑字典的方法了,可谓困难。将来很可能连抓包也要设置障碍,如果你连抓包都不顺利,看你还怎么破解?这样,用户只要设置一个足够长的密码,安全性就高了。因为字典攻击,成功概率很低。 在攻防当中,攻的难度高,防的难度低。防守方只要稍微改变一些算法,攻击方就得费很大的牛劲去破解。 你家的门被小偷撬了,钱财丢失了。你是不是从此以后都不再锁门了呢?既然锁不管用,你为什么还要锁它呢? 更可能的情况是,你被盗一次,下次就换成一个更难撬的锁。甚至你还可能要反击,安装摄像头,直接记录偷窃者的行踪。或者设置自动报警装置。或者你给居委会提建议,看好小区大门,记录可疑人员的出入。防守的水平就提高了一个档次。这样你不但防住了你家被盗,也帮助了其他家庭,减少被盗的可能。 至于说验证码影响正常会员,这个我已经说得很清楚:验证码不是验证普通帖子的,而是验证攻击者的,验证通不过者要被彻底清理。没有攻击特征的普通会员,不会进入验证页面。只要攻击者符合事先设定的条件和特征,就对他进行验证。条件也随着攻击方式的改变而改变,这条件可以由管理员来设定和改变。即便攻击者是人,验证他的时候,总让他提供手机号,这对他来说也是一件不爽的事情。他无法用同一手机号来验证多个账户,因为系统拒绝他这么做。如果你没有攻击者的特征,系统不会要求你用手机号进行验证,不会询问你的手机号。而对于攻击者(有攻击特征的用户),要求他们不得使用相同的手机号来进行验证。 防守肯定有大量有趣的工作可以做,除非你根本不想做。只要稍微改变一下防守的逻辑,攻击者就很难受的,他就得猜测你的防守逻辑,然后得费劲去破解你,多长时间能破解,也很难说。即使他好不容易破解了,你的防守逻辑马上又变了,他的攻击就又要费劲折腾了。 |
这年月,程序猿还能是缺物?维护网站,靠的是啥?没有程序猿,网站能建立起来? |
本帖最后由 不点 于 2013-6-4 16:19 编辑 我曾经提过类似的问题,但未引起重视。验证码不应对于正常的会员实施,不能够每发一个帖子,都要输入验证码。验证码是专门验证可疑的机器人的。不一定是图片的验证方法,也可以采用提问的方法,只要机器人答错就删除它。如果把问题出在图片上更好。机器人首先要解析图片中经过扭曲了的文字,这已经不容易了。好不容易解析出来之后,答案并非把解析出来的文字抄写上就完了,而是需要动脑筋思考。这难度就增大了许多。 程序首先制定一些判断标准,比如,频繁发帖、定时发帖、发帖内容很短、用户举报率高,等等,只要符合条件,程序就自动强制性地要求机器人回答问题。如果在规定的时间内拒绝回答或者答错,就自动删除帐户。 |
我再出一个主意,现在我们有举报的手段,这是让论坛的会员发挥作用的大好时机。 凡是因举报而被清理掉的帖子,系统计入黑名单,扣一分,如果所扣的分数达到该用户总发帖数的 十分之一,就自动删除账户。这样节省管理员删除账户的劳累。 |
新人发帖,一开始都发垃圾帖(嗯,啊,顶之类的无意义帖子,或者广告帖、捣乱帖),这样的新人,直接自动删除帐户得了,不会冤枉他的。多半是攻击论坛的机器人。 也可以定期检查数据库中有多少这样的帖子,要么删除帖子,要么删除帐户。 |
Powered by Discuz! X3.3
© 2001-2017 Comsenz Inc.