Diferentemente dos Good Bots que se tornam Bad Bots n\u00e3o intencionalmente, existem Bots que s\u00e3o implementados com prop\u00f3sito malicioso desde o princ\u00edpio. Tais Bots normalmente s\u00e3o criados por criminosos para exercer atividades ilegais.<\/p>\n\n\n\n
Podemos citar os Scrapers como exemplos de Bad Bots. Scrapers normalmente s\u00e3o respons\u00e1veis pelo rastreamento e varredura de websites no objetivo de furtar informa\u00e7\u00e3o. Na maioria das vezes, a informa\u00e7\u00e3o furtada \u00e9 alocada em um site fraudulento para que motores de busca indexem a p\u00e1gina falsa antes da original. Assim, usu\u00e1rios podem ser direcionados a p\u00e1gina falsa e sofrerem outros tipos de ataques, como phishing <\/a>por exemplo.<\/p>\n\n\n\n <\/p>\n\n\n\n A exist\u00eancia de uma grande quantidade de Bad Bots comumente motiva que administradores de sistemas se sintam inclinados a bloquear todo e qualquer Bot, seja ele malicioso ou n\u00e3o. Entretanto, visto que h\u00e1 casos em que Good Bots podem ser \u00fateis devido a regras de neg\u00f3cio da aplica\u00e7\u00e3o – vide Bots do Google que indexam p\u00e1ginas web para retornar em seu motor de busca – realizar o bloqueio indiscriminat\u00f3rio de Bots acaba sendo um contexto proibitivo.<\/p>\n\n\n\n Nesses casos, \u00e9 necess\u00e1rio que os administradores consigam primeiramente reconhecer um Bot e, ap\u00f3s isso, identificar se \u00e9 necess\u00e1rio realizar um bloqueio deste ou n\u00e3o. Ent\u00e3o veremos neste t\u00f3pico algumas formas de identific\u00e1-los.<\/p>\n\n\n\n Atualmente, \u00e9 comum que Bots se comuniquem com servi\u00e7os web mediante requisi\u00e7\u00f5es HTTP. O protocolo HTTP (Hypertext Transfer Protocol<\/em>) atua na camada de aplica\u00e7\u00e3o do modelo OSI por meio de requisi\u00e7\u00e3o-resposta entre cliente e servidor. Com isso, a forma mais pr\u00e1tica de identificar Bots \u00e9 analisar o corpo da requisi\u00e7\u00e3o em busca de algum dado indicativo de que o autor \u00e9 de fato um Bot.<\/p>\n\n\n\n Vamos analisar o seguinte cabe\u00e7alho (header<\/em>) de uma requisi\u00e7\u00e3o HTTP retirada dos sistemas da XLabs Security:<\/p>\n\n\n\n Por meio do cabe\u00e7alho da requisi\u00e7\u00e3o HTTP acima, observamos que existem diversos campos que carregam informa\u00e7\u00f5es a respeito da requisi\u00e7\u00e3o em si, a saber: Host<\/em>, Accept<\/em>, Accept-Encoding<\/em>, etc. Um desses campos, trata-se do User-Agent<\/em>, que normalmente indica qual foi o agente respons\u00e1vel por criar de fato a requisi\u00e7\u00e3o em quest\u00e3o. Podemos observar que o campo “User-Agent<\/em>” cont\u00e9m a seguinte a palavra “Semrushbot”, este \u00e9 um Bot de pesquisa para descobrir se houveram atualiza\u00e7\u00f5es em determinado website. N\u00e3o sendo um Bot malicioso, cabe ao administrador entender se tais requisi\u00e7\u00f5es devem ser bloqueadas.<\/p>\n\n\n\n Agora vamos analisar outro exemplo. No header<\/em> abaixo, novamente observamos um cabe\u00e7alho de requisi\u00e7\u00e3o HTTP. Observa-se que o campo User-Agent<\/em> cont\u00e9m a palavra MJ12bot que \u00e9 um Bot focado em mapear a rela\u00e7\u00e3o entre websites. Da mesma forma que ocorre com o SemrushBot, administradores que definem se conceder\u00e3o resposta a requisi\u00e7\u00e3o MJ12bot ou n\u00e3o.<\/p>\n\n\n\n Atrav\u00e9s dos exemplos, conseguimos observar que uma das principais formas de se legitimar um Bot \u00e9 analisando o campo User-Agent<\/em> da requisi\u00e7\u00e3o, visto que Good Bots<\/em> comumente utilizam este dado como identificador. \u00a0\u00b9https:\/\/github.com\/matomo-org\/referrer-spam-list<\/em><\/p>\n\n\n\n <\/p>\n\n\n\n Vamos observar agora alguns exemplos de Good Bots<\/em> e Bad Bots<\/em>.<\/p>\n\n\n\n Bot de direitos autorais<\/strong>: Tem o objetivo de rastrear plataformas e sites que possam conter assunto que violem a lei de direitos autorais. Bots dessa categoria podem ser operados por qualquer pessoa ou corpora\u00e7\u00e3o que tenha conte\u00fado protegido pela lei referente. Esses Bots conseguem procurar textos, m\u00fasicas, imagens e tamb\u00e9m v\u00eddeos copiados. <\/p>\n\n\n\n Bot de assistente:<\/strong> Programas mais avan\u00e7ados que utilizam uma AI (Artificial Intelligence)<\/em> utilizam a busca de dados automaticamente, sendo assim, s\u00e3o considerados Bots. Atualmente temos como exemplos desse tipo os sistemas da Alexa, Siri, Google Assistente entre outros.<\/p>\n\n\n\n Bot comercial<\/strong>: S\u00e3o utilizados por corpora\u00e7\u00f5es comerciais que investigam a rede para ter acesso \u00e0s informa\u00e7\u00f5es do mercado. Estes Bots podem ser utilizados em pesquisas de p\u00fablico alvo, uma vez que monitoram relat\u00f3rios de not\u00edcias ou, at\u00e9 mesmo, analisando consumidores e seus comportamentos. <\/p>\n\n\n\n Bots de feed<\/strong>: Vasculham a internet em busca de assuntos importantes para adicionar a um feed de not\u00edcias espec\u00edficos.<\/p>\n\n\n\n Bots de monitoramento de sites<\/strong>: Monitoram m\u00e9tricas dos websites<\/em> como situa\u00e7\u00e3o de backlinks<\/em> ou intermit\u00eancias no sistema. Encontrando alguma irregularidade emitem alertas aos administradores do sistema.<\/p>\n\n\n\n Bots de pesquisa<\/strong>: Conhecidos tamb\u00e9m por web crawlers<\/em> ou spiders<\/em>, seu papel \u00e9 buscar e conferir o conte\u00fado na rede, organizando o material para que possa ser indexado em formas de resultados de motores de busca.<\/p>\n\n\n\n ChatBots<\/strong>: Possuem capacidade de intera\u00e7\u00e3o com seres humanos.<\/p>\n\n\n\n Bots de DDoS:<\/strong> S\u00e3o bots coordenados que, por meio de um volume muito grande de requisi\u00e7\u00f5es sobrecarregam um determinado website<\/em>. Criminosos utilizam essa t\u00e9cnica para causar indisponibilidade de servi\u00e7o.<\/p>\n\n\n\n Bots de Web Scraping: <\/strong>Extraem exageradamente os dados de um website, fazendo uma \u201craspagem de conte\u00fado\u201d, e assim direcionam o conte\u00fado para fins maliciosos.<\/p>\n\n\n\n Bots de Comment Spam:<\/strong> Abusam de formul\u00e1rios encontrados em sites para postar conte\u00fado n\u00e3o solicitado. <\/p>\n\n\n\n Bots de Spamdexing<\/strong>: Respons\u00e1veis por alterar a relev\u00e2ncia de um determinado website em motores de busca.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Existem diversas formas de se coibir a a\u00e7\u00e3o de Bots, veremos aqui ent\u00e3o algumas delas.<\/p>\n\n\n\n <\/p>\n\n\n\n A principal forma de limitar a a\u00e7\u00e3o de Bots \u00e9 por meio do arquivo robots.txt. Trata-se de um arquivo especial situado no diret\u00f3rio da aplica\u00e7\u00e3o Web que delimita por meio de diretivas quais as permiss\u00f5es e bloqueios de determinados User-Agents<\/strong>, tamb\u00e9m possibilitando definir o delay <\/em>(tempo) m\u00ednimo exigido entre requisi\u00e7\u00f5es.<\/p>\n\n\n\n Segue um exemplo de formata\u00e7\u00e3o do arquivo roBots.txt:<\/p>\n\n\n\n User-agent<\/strong>: *<\/p>\n\n\n\n Allow<\/strong>: \/<\/p>\n\n\n\n No exemplo acima, por meio do asterisco presente na diretiva User-Agent<\/em> e da \u201c\/\u201d presente em Allow<\/em>, define-se que todo e qualquer agente pode efetuar requisi\u00e7\u00f5es em qualquer caminho da aplica\u00e7\u00e3o Web.<\/p>\n\n\n\n User-agent<\/strong>: MJ12Bot<\/p>\n\n\n\n Disallow<\/strong>: \/<\/p>\n\n\n\n No exemplo acima, por meio da diretiva Disallow<\/em> o Bot MJ12bot est\u00e1 proibido de fazer requisi\u00e7\u00f5es em qualquer caminho do Website.<\/p>\n\n\n\n Outra diretiva permitida no robots.txt \u00e9 a \u201cCraw-delay<\/em>\u201d. Essa tem por objetivo retardar a a\u00e7\u00e3o do Bot de modo em que o mesmo s\u00f3 consiga fazer uma nova requisi\u00e7\u00e3o depois de um tempo predeterminado. Assim, determina-se que os Bots n\u00e3o executem tantas requisi\u00e7\u00f5es por segundo.<\/p>\n\n\n\n User-agent<\/strong>: SemrushBot<\/p>\n\n\n\n Disallow<\/strong>: \/Craw-delay<\/strong>: 5<\/p>\n\n\n\n No exemplo de configura\u00e7\u00e3o de robots.txt acima, o Bot SemrushBot pode efetuar requisi\u00e7\u00f5es no website a cada 5 segundos devido a defini\u00e7\u00e3o da diretiva Craw-delay<\/em>.<\/p>\n\n\n\n Outra forma de evitar o bloqueio de uma Good Bot e manter o bloqueio de Bad Bots, \u00e9 a utiliza\u00e7\u00e3o de ferramentas de Rate Limit, que s\u00e3o capazes de analisar tr\u00e1fego por meio da investiga\u00e7\u00e3o de logs de acesso, pontuando e mitigando a a\u00e7\u00e3o de Bots com comportamento an\u00f4malo. O mecanismo de Rate Limit comumente j\u00e1 est\u00e1 inserido em servi\u00e7os de CDN, comentados a seguir.<\/p>\n\n\n\n Aplicar um servi\u00e7o de WAF (web application firewall) com CDN tamb\u00e9m pode ser uma alternativa vi\u00e1vel para o bloqueio de Bots. Isso ocorre pois muitos servi\u00e7os de WAF\/CDN<\/a> como o da XLabs Security abstrai ao administrador da aplica\u00e7\u00e3o diversos mecanismos de detec\u00e7\u00e3o e mitiga\u00e7\u00e3o de Bad Bots.<\/p>\n\n\n\n Limitar o acesso do website a mecanismos de Captcha como o reCAPTCHA da Google pode reduzir significativamente a a\u00e7\u00e3o de Bots. Isto ocorre, pois, com esses mecanismos uma a\u00e7\u00e3o humana de reconhecimento de padr\u00f5es \u00e9 exigida antes de permitir o acesso \u00e0s informa\u00e7\u00f5es contidas nos sites.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Com a grande quantidade de Bots trafegando pela Internet, \u00e9 necess\u00e1rio que administradores de websites sejam obrigados a definir como lidar com eles, sejam bem intencionados ou n\u00e3o.<\/p>\n\n\n\n Apesar de existirem formas de reconhecer o Bot e a partir disso restringir a comunica\u00e7\u00e3o com o mesmo, existem Bots que tentam mascarar sua fun\u00e7\u00e3o buscando se passar por um usu\u00e1rio convencional. Esses Bots, se n\u00e3o identificados, podem comprometer o funcionamento de uma aplica\u00e7\u00e3o atrav\u00e9s de quantidades exageradas de requisi\u00e7\u00f5es ou, ent\u00e3o, atrav\u00e9s do sequestro de dados.<\/p>\n\n\n\n Nesse contexto, \u00e9 importante a utiliza\u00e7\u00e3o de ferramentas especializadas em detectar e mitigar a a\u00e7\u00e3o de todo e qualquer tipo de Bot, como por exemplo a CDN da XLabs Security<\/a>, que \u00e9 capaz de identificar e tratar os Bots antes que eles causem qualquer preju\u00edzo ao site. <\/p>\n\n\n\nReconhecendo um Bot<\/h3>\n\n\n\n
![\"\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2023\/03\/img1-badbots-good-bots-xlabs.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2023\/03\/img2-badbots-good-bots-xlabs.png\")
<\/figure>\n\n\n\n
Entretanto, h\u00e1 a exist\u00eancia de Bad Bots<\/em> que fraudam a informa\u00e7\u00e3o User-Agent<\/em> na tentativa de se passar por um usu\u00e1rio normal. Nesses casos, os administradores necessitam recorrer a outros m\u00e9todos de identifica\u00e7\u00e3o analisando outros campos da requisi\u00e7\u00e3o HTTP em busca de alguma assinatura que permita a identifica\u00e7\u00e3o de um poss\u00edvel Bad Bot<\/em>.
Existem projetos open-sources<\/em> como o matomo-org\/referrer-spam-list<\/strong>\u00b9 que apresenta uma lista de hosts conhecidos por exercerem papel de Bad Bots<\/em> na rede. Assim, administradores podem usufruir deste tipo de conhecimento p\u00fablico para identificar Bots maliciosos e decidir se ir\u00e3o responder \u00e0s requisi\u00e7\u00f5es desses hosts<\/em> ou n\u00e3o.<\/p>\n\n\n\nExemplos de Good e Bad Boots<\/h3>\n\n\n\n
Good Bots<\/h4>\n\n\n\n
Exemplos de Bad Bots<\/h4>\n\n\n\n
Coibindo A\u00e7\u00f5es de Bots<\/h3>\n\n\n\n
Arquivo robots.txt<\/h4>\n\n\n\n
Rate Limit<\/h4>\n\n\n\n
CDN (Content Delivery Network)<\/h4>\n\n\n\n
Mecanismo de Captcha<\/h4>\n\n\n\n
Conclus\u00e3o<\/h3>\n\n\n\n