プログラムでボットを検出する方法

これで追求するいくつかの要素があります。

user-agent文字列は1つの値ですが、簡単になりすますことができます。

かなり有用なヒューリスティックは、少し前処理を行ってからトラフィックを調べることです。

• 逆IPルックアップ
• Routeviewsプロジェクト（ http://www.routeviews.org/ ）を呼び出して、特定のIPのCIDRとASNをプルアップします。これにより、単一のIPから、同様のトラフィックパターンを持つ連続したネットワーク範囲に拡張できます。
• ASN名をプルダウンします： http://bgp.potaroo.net/cidr/autnums.html

ホスト、ASN、CIDR、およびASNの名前情報を追加してアクセスログを解析します。 URLを非バリアント部分にサブセット化します（YMMVを使用しますが、通常は「？」を超えてすべてを削除します）。特定の検索ページまたはユーティリティページがある場合は、これらに焦点を合わせます（通常、ある種のユーザー検証サービスを使用するボット、または検索で問題が発生します）。

トラフィック量の多い単一のIPを探します。

トラフィック量の多い単一のCIDRブロックまたはASNを探します。

正当な検索トラフィック（Google、Bing、Yahoo、Baidu、Facebook、および同様のボット/ネットワークスペース）を除外します。これはおそらく継続的なメンテナンスのより大きな領域の1つになるでしょう、このようなものは常に変化します。

正当なユーザートラフィックを除外します。特にあなたのサイトの大量のユーザーのために。

エンドユーザーと検索ボットの両方について、通常の使用パターンを特定します。通常のユーザーが1分あたり1〜3ページにアクセスし、通常のセッションは5〜10分で、Googlebotが1分あたり10回の検索に制限している場合、突然1つのIPまたはCIDRブロックが数百または1分あたり数千回の検索で、問題が見つかった可能性があります。

大量/影響の大きい（否定的な意味での）トラフィックの発生源を調査します。多くの場合、WHOISクエリは、これが何らかのホスティングスペースであることを明らかにします。通常、正当なユーザートラフィックが多く見られる場所ではありません。パターンは、ユーザーエージェント文字列、リクエストURL、リファラー文字列などに表示される場合があり、追加のパターンにヒントを与えます。

キャッシングwhoisクライアントは、プロセスの速度とレジストラによるレート制限/スロットルの回避の両方で、多くのWHOISルックアップを実行することになった場合に大きな助けになる可能性があります（何らかの理由で、実行しているエンティティに親切に対応しません）何千もの繰り返し/自動ルックアップ）。私はこれを追求していませんが、詳細についてはレジストラに直接アクセスできる場合があります。

さまざまなレピュテーションデータベース（スパムルックアップ、SenderBase、これらの線に沿っていくつかのGoogleのものがあります）に対するチェックも、不十分にポリシングされたネットワークスペースを裏付ける可能性があります。

私はこれらの線に沿ってあなたを売るために何かを持っていると言いたいのですが、私が取り組んでいるのは主にこれをまとめるためのいくつかのawkと他のツールです。適度なワークステーションで、1分あたり数百万行のログを解析します（さらに、IPおよびASN/CIDR情報のハッシュを準備するための準備オーバーヘッドも少しあります）。完全に自動化されているわけではありませんが、数分の作業で問題の適切な状況を把握できます。