Как адски нагрузить поведенческого бота на сайте?

Question

[weranda]

Много ботов поведенческих на сайтах, видно их в метрике, будто реальные люди, но не они. Есть идея — нагрузить их по самые помидорки при посещении сайта. Припоминаю... что-то, как-то... можно сделать так, чтобы когда кто-либо открывал страницу сайта в браузере, нагружать его какими-то вычислениями на его стороне так, чтобы у него сжирало максимум ресурсов.

Comments

[Владислав Лысков]

вариант не заниматься ерундой не пробовали?

[weranda]

Владислав Лысков, а аргументация к вопросу имеется?

[Владислав Лысков]

weranda, вроде аргументируют ответы, а не вопросы

[weranda]

Владислав Лысков, это только по вашему мнению аргументы есть у ответов, но не вопросов.

[Владислав Лысков]

weranda, хорошо, можешь аргументмровать вопросы, а по делу, ну отдай боту бесконечный цикл, но толку от этого, он ляжет и запуститься заново

[weranda]

Владислав Лысков, Интересное решение, такое простое, из него сразу стало все понятно, даже уточняющих вопросов не осталось.
Вопрос: как нагрузить? Ответ: нагрузи!
::два_больших_пальца_вверх::

[Василий Банников]

1. Раз ты в момент запроса можешь со 100% вероятностью определить, что это бот, то почему бы просто не забанить их?

2. Если хочется нагрузить с пользой - поставь майнер на сайт и подкидывай его, если определил, что клиент - бот.

3. Если не 100%, то тогда лучше не надо, а то ещё реальных клиентов потеряешь

[shurshur]

weranda, какие-то действия надо предпринимать, если есть реальные проблемы, а не просто аллергия на ботов. Ну, допустим, пришёл бот. Полистал странцы, пошарился по меню, нажал кнопку репоста... Ну и пускай. Вот если он сделает что-то реально неприятное, например, закажет звонок на рандомный номер, то это уже серьёзнее. Но тогда и защищать надо в первую очередь не сам сайт от бота, а механизм заказа вызова.

[Михаил Р.]

weranda,

видно их в метрике, будто реальные люди, но не они

Каким образом определили?

[d-stream]

ну хочется человеку)
можно отдавать по байту в секунду боту
можно /dev/urandom юючить и отдавать
можно страничку с кучкой png bomb отдать
можно просто садистски не додавть по 1 последнему байту gzip контента

будет "чем бы дитя не тешилось" с двух сторон трубы)

Answer 1

[mayton2019]

Не претендуя на ответ я просто перечислю здесь все советы, которые уже звучали в комментариях и
добавлю свои.

Развитие этого вопроса - плавно приводит к нарушению законов. Например,
что можем сделать с несчастным владельцем бота, зная его IP. Развивать не будем.
Пускай будет просто http-responce. Я думаю модератор одобрит сухое перечисление
с чисто академическим интересом.

- Отдавать боту безсмысленный трафик. Набор непарсящегося по html содержимого. (/dev/random)
- Отдавать мееееедленно контент. Еще медленнее....
- Отдать майнер или любой JS который создает безсмысленную нагрузку.
- Отдеть веб-ассембли создающую нагрузку.
- Отдать gzip-бомбу (сжатый трафик который переполняет память при распаковке (очень быстро))
- Отдать xml-бомбу (очень старая уязвимость XML/DTD которая не везде работает)
- Отдать png/gif картинки переполняющие память при открытии.

В конечном счете эффект от этих сюрпризов будет сильно зависеть от самого бота. Я подозреваю
что никакого эффекта в целом не будет. От игнора содержимого до незначительных ошибок и
резкого закрытия соединения.

Answer 2

[Виктор Петров]

До сих пор никто не научился отличать поведенческих ботов от людей. Яндекс, теоретически, способен - но на полноценный антифрод у него нет ресурсов.
Если есть решение - надо его продать тому же Яндексу. Или продавать сервис по защите самостоятельно.
Но вообще говоря, никого нагрузить не удастся. Профиль - это в среднем 2 минуты активности, из которых часть времени тратится на serp, часть - на другие хосты.
Ну и да, надо рассчитывать сразу, что зацепит и людей, и это быстро обнаружат ПС. А это уже фильтр в лучшем случае.