Moin!

naja das sind doch eh nur proxys die sie benutzen für solche attacken.
Natürlich werden die nicht für ewig weggesperrt,
nur für ein paar stunden oder tage.

Das reicht ja schon aus, um für berechtigte Benutzer den Zugang zu sperren. Das ist genau das mögliche Problem bei sowas.

Natürlich kannst du dich selbst beruhigen und sagen: "Ist ja noch nie vorgekommen, hat noch nie Schaden angerichtet." Klar. Genauso häufig kommen BruteForce-Attacken ja auch vor, weil Angreifer sehr wohl wissen, dass man mit BruteForce eher sehr selten Zugriff erlangt, damit aber heftig auffällt. BruteForce lohnt sich nur, wenn man es anwenden kann, ohne dass es auffällt. Also in der Regel, wenn man eine Passwortdatei mit verschlüsseltem Passwort darin bekommen hat.

Wenn man aber als Anbieter irgendwelche Sperrmaßnahmen als automatische Reaktion auf BruteForce eingebaut hat, und das wird bekannt, ist das eine herrliche Einladung für alle möglichen DoS-Attacken. DoS kommt auch nicht so häufig vor, weil es in der Regel keine wirklich interessanten Ziele gibt. Microsoft ist beispielsweise ein interessantes Ziel, aber sehr schwer zu treffen, weil die einfach riesige Mengen an Kapazität bereitstellen. Da müßte schon das gesamte Internet mitmachen.

Wenn aber ein Anbieter auf sehr leichte Art und Weise dichtzumachen ist, so dass man dafür kaum mehr als einen einzigen Rechner plus Modemleitung braucht, dann wird der als Ziel natürlich schon interessant.

Dein Mechanismus mag für den einfachen Fall funktionieren: Skriptkiddies oder Hobbyhacker mit der typischen Neugierde, die man schnell aufhalten kann. Er birgt aber das Potential, dass man deine Site mit weig Aufwand für reguläre Benutzer unzugänglich machen kann.

Und dazu muss ich auch sagen,dass die requests meist gar nicht auf das login.cgi direkt richten sondern
auf das denied.cgi welches nicht denied.cgi heisst,weil die nicht mal wissen,dass das cgi gar nicht
die htpasswd liste überprüft,sondern nur loggt.

Wie die Dateinamen heißen, ist irrelevant. Ein vernünftiger Angreifer nimmt genau das CGI, welches vom Login-Formular angesprochen wird.

aber was nützt ihm das,wenn der name zum memberverzeichniss z.B. "/we23BzuIHjk/" heisst
und nicht /members wie bei den meisten?

Das ist auch egal. Ein erfolgreicher Login-Vorgang wird den Angreifer genau dorthin bringen, wo er hin will. Solche kryptischen Namen sind nur dann von Interesse, wenn du das Verzeichnis unzureichend geschützt hast und man ohne Login reinkommen würde.

- Sven Rautenberg