什么是Apache Synapse？

我的网站不断受到以下用户代理字符串的奇怪请求的打击：

Mozilla/4.0 (compatible; Synapse)

使用我们的友好工具Google，我能够确定这是我们友好社区Apache Synapse的标志性电话卡。“轻量级ESB（企业服务总线）”。

现在，基于我能够收集到的信息，我仍然不知道此工具的用途。我只能说这与Web服务有关，并且支持多种协议。“信息”页面仅使我得出结论，它与代理和Web服务有关。

我遇到的问题是，尽管通常我不会在乎，但我们受到了俄罗斯IP的相当大的打击（并不是说俄语很差，但我们的站点是特定于地区的），而当他们这样做时，将奇怪的值（至少不是xss / malicious）推入我们的查询字符串参数中。

事情是这样&PageNum=-1或&Brand=25/5/2010 9:04:52 PM。

在继续从我们的网站阻止这些ips / useragent之前，我需要一些帮助来了解正在发生的事情。

任何帮助将不胜感激 ：）

所有IP是否都在特定范围内？该范围是否分配给特定公司？如果是这样，只需查找范围的分配者并联系列出的技术联系人。

我最有可能想到的是，它们正在抓取您网页上的内容，或者正在编写一些会抓取内容的内容（这将奇怪的边界条件解释为参数）。

可能会有些无辜，我不知道您要保护哪些数据（可能有价值）。他们可能试图暴露一个错误页面，该页面可能会转储敏感的调试信息。如果是这种情况，那么我建议设置一个Web应用程序防火墙。这样做是为了防止此类敏感的错误消息和其他滥用情况发生。

您可以尝试禁止IP范围，看看谁在抱怨……尽管那是您的最后选择。

我很确定这不是 Apache Synapse，它是使用Ararat Synapse构建的一些工具，该工具是Delphi TCP / IP库。我从两个项目都下载了源代码，据我所知，Apache Synapse有一个可配置的用户代理，默认为：

另一方面，Ararat Synapse具有此默认用户代理：

就像您的日志中有一个一样，并且我使用完全相同的用户代理来进行各种SQL注入攻击。攻击者可能正在使用Delphi中带有Ararat Synapse库的一些工具。

由于坏人没有更改默认的用户代理，因此我认为将其阻止是安全的：

Mozilla/4.0 (compatible; Synapse)

部分原因是因为您可以阻止在Apache Synapse上运行的某些合法工具，并且我相信任何合法的bot或项目都将定义用户代理，并且不会默认隐藏。

阻止IP是毫无意义的，因为攻击似乎来自世界各地的各种IP地址，可能是某些僵尸网络。

试图将-1注入viewstate的同一个人：

finder-query: -1'

它可能是自动化的SQL注入测试器工具。

我最近看到这个User-Agent来自一个IP：

217.35.nn.nn--[21 / Feb / 2012：07：01：22 +0000]“ GET /view/pubcal.php?event=17'HTTP / 1.0” 200 405“-”“ Mozilla / 4.0（兼容; Synapse）”
217.35.nn.nn--[21 / Feb / 2012：08：06：31 +0000]“ GET /view/pubcal.php?event=16'HTTP / 1.0” 200 405“-”“ Mozilla / 4.0（兼容; Synapse）”

不久之后便出现了绝对是恶意用户代理（Havij）：

217.35.nn.nn--[21 / Feb / 2012：10：44：26 +0000]“ GET /view/pubcal.php?event=1 HTTP / 1.1” 200 6627“-”“ Mozilla / 4.0（兼容； MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727）Havij“
217.35.nn.nn--[21 / Feb / 2012：10：44：26 +0000]“ GET /view/pubcal.php?event=999999.9 HTTP / 1.1” 200 2235“-”“ Mozilla / 4.0（兼容； MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727）Havij“

随后进行了几次SQL注入尝试。

Synapse本身并不是恶意软件，但它似乎确实已被用来探测数据驱动的网站。如果您的网站没有向任何人提供API，那么我将阻止此用户代理。也许使用fail2ban中的apache-badbots过滤器来阻止来自尝试使用此代理字符串的IP地址的流量。并在其中停留“ Havij”。

我已经检查了我的数据库，其中包含由我们的安全应用程序收集的超过7500万个请求，但仅发现该用户代理没有任何引荐来源网址。

此外，我可以看到它们在不到一分钟的时间内到达了各个子域，普通的访问者无法如此快速地导航。

我只计算了对该用户代理的23个请求，因此我阻止了这些人。这里是我站点的IP地址：

189.250.204.153
190.31.58.52
113.23.76.219
94.142.131.77
190.86.161.245
186.2.144.165
189.170.129.68
188.84.39.160
92.131.184.129
189.12.36.143
94.110.73.38
189.162.86.23
94.43.231.90
217.77.28.170
190.138.185.135
188.169.196.13
200.153.252.1
41.235.79.86
186.129.128.94

搜索此用户代理后，我来到了这里。不同的IP（91.127.90.220）但采用相同的方法-表单中的每个字段依次由-1 [quote]代替。

这是我见过的唯一一次使用，所以我同意禁止它是前进的道路。