PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Benutzen Bots den normalen Browser?



Stefreak
20.06.2006, 08:22
Hallo an euch!

Mich würde interessieren, ob SpamBots den normalen Browser benutzen.
Wenn nicht und der Programmierer nicht gerade schlau war, dann würde das ja heißen, dass man den SpamBot gleich am UserAgent ausvindig machen kann :)

Aber obwohl der SpamBot kann ja zum Beispiel den userAgent des IE's vorteuschen....

Was machen die Bots denn nach euren Erfahrungen? (Mein GB hat kein User-Agent)


MfG
Stefreak

exe
20.06.2006, 14:56
Aber obwohl der SpamBot kann ja zum Beispiel den userAgent des IE's vorteuschen....

Was machen die Bots denn nach euren Erfahrungen?
Sie täuschen einen "normalen" User-Agent (sprich Browser) vor. :)

schnueffler
04.07.2006, 18:56
Sie täuschen einen "normalen" User-Agent (sprich Browser) vor. :)

Genau. Gewöhnlich ist das so, obwohl ich auch schon einige Male einen anderen Fall hatte:
http://www.antispam-ev.de/forum/showpost.php?p=67107&postcount=1

Sirius
04.07.2006, 19:58
Viele Harvester sind an folgenden User-Agent-Strings erkennbar:
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

Beide Betriebssysteme werden kaum noch verwendet.

Weiter Hinweise auf einen Bot:
- Der Referrer-String fehlt grundsätzlich.
- Sie reagieren nicht auf Code, der für den IE tödlich ist.
- Sie folgen auch Links, die versteckt (unsichtbar) sind.

Auffällig ist, dass manche Harvester nach einer Weile mit einer anderen IP wiederkommen. Vermutlich filtern sie dadurch dynamisch generierte Mail-Adressen aus.

heinerle
05.07.2006, 00:32
...

Weiter Hinweise auf einen Bot:
...
Häufig werden auch Header nicht mit übertragen, die jeder normale Browser sendet, z.B. HTTP_ACCEPT oder HTTP_CONNECTION (vgl. http://www.antispam-ev.de/forum/showpost.php?p=67817&postcount=15)

Gool
07.07.2006, 13:08
Viele Harvester sind an folgenden User-Agent-Strings erkennbar:
Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

Beide Betriebssysteme werden kaum noch verwendet.


Stimmt nicht! Win98 wird noch sehr oft verwendet und die Kennung von Windows 2000 und XP ist Windows NT 5.0 (wenn ich mich recht erinnere - ich hab da schon mal ne Diskussion geführt)

exe
07.07.2006, 14:16
Stimmt nicht! Win98 wird noch sehr oft verwendet und die Kennung von Windows 2000 und XP ist Windows NT 5.0 (wenn ich mich recht erinnere - ich hab da schon mal ne Diskussion geführt)
AFAIK meldet sich XP als Windows NT 5.1.

Gool
07.07.2006, 15:43
Joar, dann ist es nur Windows 2000, das sich als Windows NT 5.0 meldet.

Sirius
07.07.2006, 17:09
Stimmt nicht! Win98 wird noch sehr oft verwendet und die Kennung von Windows 2000 und XP ist Windows NT 5.0 (wenn ich mich recht erinnere - ich hab da schon mal ne Diskussion geführt)Es stimmt natürlich, wenn du feststellst, dass diese Browser-Strings primär den Internet Exporer von Windows 98 und Windows 2000 kennzeichnen.

Ich meinte hingegen, dass sich viele Harvester mit diesen Browser-Strings tarnen.

Weitere Kennzeichen wie fehlenden HTTP-Header-Einträge können dann schnell einen Bot entlarven. Hierzu habe ich mal ein paar Tage die HTTP-Header gesammelt und ausgewertet.
Folgende fehlende HTTP-Einträge sind typisch für Bots:
- HTTP_ACCEPT_ENCODING
- HTTP_ACCEPT_LANGUAGE
- HTTP_CONNECTION
- HTTP_REFERRER
(Die Header-Daten lassen sich natürlich hinzufügen, um den Bot besser zu tarnen.)