Apache Synapseとは何ですか？

私のウェブサイトは、次のユーザーエージェント文字列を使用した奇妙なリクエストに常に見舞われています。

Mozilla/4.0 (compatible; Synapse)

Googleの友好的なツールを使用して、これが友好的な近所のApache Synapseの特徴的なコーリングカードであると判断できました。「軽量ESB（エンタープライズサービスバス）」。

今、私が収集できたこの情報に基づいて、このツールが何のために使用されているのかまだわかりません。私が知ることができるのは、それがWebサービスと関係があり、さまざまなプロトコルをサポートしているということだけです。情報ページは、プロキシとWebサービスに関係があると結論付けるだけです。

私が遭遇した問題は、通常私は気にしないが、ロシアのIPにかなり打撃を受けているということです（ロシアのものが悪いわけではありませんが、私たちのサイトはかなり地域固有のものです）クエリ文字列パラメーターに、（少なくともxss /悪意のあるものではない）奇妙な値を再入力します。

&PageNum=-1またはのようなもの&Brand=25/5/2010 9:04:52 PM。

先に進み、これらのips / useragentをサイトからブロックする前に、何が起こっているのかを理解する手助けをしてもらいたいです。

どんな助けも大歓迎です:)

すべてのIPは特定の範囲からのものですか？その範囲は特定の会社に割り当てられていますか？割り当てられている場合は、範囲が誰に割り当てられているかを検索し、リストされた技術担当者に連絡してください。

私が考えられる最もありそうなことは、彼らがあなたのウェブページからコンテンツをスクレイピングしている、またはコンテンツをスクレイピングする何かをプログラミングしているということです（これは奇妙な境界条件を引数として説明します）。

それは少し無邪気なものかもしれません、あなたが保護しようとしているデータがわかりません（何か価値があるかもしれません）。彼らは、繊細なデバッグ情報をダンプできるエラーページを公開しようとしている可能性があります。その場合は、Webアプリのファイアウォールを設定することをお勧めします。これらは、この種のデリケートなエラーメッセージやその他の不正行為の発生を防ぐために作られています。

IP範囲の禁止を試してみて、誰が苦情を言っているのかを確認することができます。

これは Apache Synapseではなく、Delphi TCP / IPライブラリであるArarat Synapseで構築されたいくつかのツールであると確信しています。私は両方のプロジェクトからソースコードをダウンロードしましたが、私が見る限り、Apache Synapseには設定可能なユーザーエージェントがあり、デフォルトは次のとおりです。

一方、Ararat Synapseには次のデフォルトのユーザーエージェントがあります。

それはあなたがあなたのログに持っているものとまったく同じであり、私はまったく同じユーザーエージェントがさまざまなSQLインジェクション攻撃で調査しています。おそらく攻撃者は、Delphiで構築されたいくつかのツールをArarat Synapseライブラリとともに使用しています。

悪者はデフォルトのユーザーエージェントを変更しなかったので、これをブロックしても安全だと思います。

Mozilla/4.0 (compatible; Synapse)

Apache Synapseで実行されている正当なツールをブロックできるからです。正当なボットやプロジェクトはユーザーエージェントを定義し、デフォルトでは非表示にしないと思います。

攻撃は世界中のさまざまなIPアドレス、おそらくいくつかのボットネットから発信されているように見えるため、IPをブロックするポイントはありません。

ビューステートに-1を注入しようとしている同じ人：

finder-query: -1'

おそらく自動化されたSQLインジェクションテスターツールです。

私は最近、このUser-Agentが1つのIPから来ているのを見ました：

217.35.nn.nn--[21 / Feb / 2012：07：01：22 +0000] "GET /view/pubcal.php?event=17 'HTTP / 1.0" 200405 "-" "Mozilla / 4.0（互換性あり） ; Synapse）」
217.35.nn.nn--[21 / Feb / 2012：08：06：31 +0000] "GET /view/pubcal.php?event=16 'HTTP / 1.0" 200 405 "-" "Mozilla / 4.0（互換性あり） ; Synapse）」

すぐに間違いなく悪意のあるユーザーエージェント（Havij）が続きました。

217.35.nn.nn--[21 / Feb / 2012：10：44：26 +0000] "GET /view/pubcal.php?event=1 HTTP / 1.1" 200 6627 "-" "Mozilla / 4.0（互換性あり; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727）Havij "
217.35.nn.nn--[21 / Feb / 2012：10：44：26 +0000] "GET /view/pubcal.php?event=999999.9 HTTP / 1.1" 200 2235 "-" "Mozilla / 4.0（互換性あり; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727）Havij "

これに続いて、SQLインジェクションが何度か試みられました。

Synapse自体は悪意はありませんが、データ駆動型Webサイトの調査に使用されているようです。あなたのウェブサイトが誰にもAPIを提供していない場合、このユーザーエージェントをブロックします。fail2banでapache-badbotsフィルターを使用して、このエージェント文字列を使用しようとするIPアドレスからのトラフィックをブロックすることができます。そして、あなたがそこにいる間も、そこに「ハビジ」を入れてください。

セキュリティアプリケーションによって収集された7,500万件以上のリクエストでデータベースをチェックしましたが、リファラーURLのないユーザーエージェントのみが見つかりました。

また、1分以内にさまざまなサブドメインにヒットし、通常の訪問者はそれほど速くナビゲートできなかったことがわかります。

そのユーザーエージェントに対するリクエストは23件しかカウントされていないので、ブロックしました。ここに私のサイトからのIPアドレス：

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

このユーザーエージェントを検索した後、ここに来ました。異なるIP（91.127.90.220）が同じアプローチ-フォームのすべてのフィールドが-1 [quote]で順番に置き換えられます。

それが使われたのはこれが私が見た唯一の時であるので、それを禁止することが前進の道であることに同意します。