问从安全性的角度来看，哪些HTTP状态代码是有趣的？

EN

当攻击者请求应该受授权(http://cwe.mitre.org/data/definitions/862.html)保护的URI时，HTTP 200对他来说是很棒的。

攻击者会注意到HTTP500s--它们通常会导致进攻的成功。观察大量的HTTP500s可能很有趣。如果应用程序喜欢在错误时重定向(HTTP 302)，那么很多HTTP302就会很有趣。

要捕捉恶意活动，最好是观察一些或所有HTTP状态代码的数值变化(min、max、中位数、平均值、标准差)。在很短的时间内从一个IP块中观察到50,000个HTTP200，可能意味着您的数据库正在走向公众。很多不寻常的HTTP 200也可能意味着攻击者找到了一种成功发送恶意请求的方法，而这些请求是用HTTP 200来回答的。

如果您有大量时间来玩，您可以对“普通”用户的活动(例如，正常用户在会话期间生成的每个HTTP状态代码中的多少)进行建模，然后寻找跨越容忍阈值的变化。搜索异常算法，并尝试您认为仅通过分析HTTP状态代码就可以识别异常活动的算法。其实可能是个有趣的研究。

另外，如果您正在查看Apache日志中的攻击，请查看http://code.google.com/p/apache-scalp/。

头皮！是Apache web服务器的日志分析器，旨在查找安全问题。主要思想是查看巨大的日志文件并提取通过HTTP/GET发送的可能的攻击(默认情况下，Apache不记录HTTP/POST变量)。

基于响应代码这样的低分辨率信息，拒绝请求是很危险的。来自一个未知IP地址的/admin/中的200个响应很有趣。

除了您列出的有趣代码之外，还有400个响应可能是有趣的(例如，它们是由枯萎菌引起的，它们也是由攻击者手工制作HTTP请求和出错协议造成的)。

401响应可能很有趣，因为它们是由HTTP身份验证(通常称为htaccess身份验证)生成的。很多这些都可以表明是野蛮的武力攻击。

事实上，我想说的是，400范围内的一切都是有趣的。在这里可以找到完整的响应代码列表。

但你问的是哪一个不有趣。为此，我试着建议整个300范围，但警告说，任何不寻常的东西都是有趣的。实际上，这意味着301、302和304可能并不有趣。302回复通常是表单提交的结果，并会引起很多评论垃圾邮件发送者，所以你是否认为这是一个个人的决定。

在这里，不寻常的关键字可能比任何特定的响应代码列表更有用。这适用于日志中的每个字段。不寻常的请求方法，如PUT或CONNECT非常有趣，即使它们返回一个非感兴趣的响应代码。

一旦您发现一个不寻常的请求需要进一步调查，接下来您应该做的就是抓取相同IP地址所发出的每一个请求，即使您通常会因为它们的响应代码而忽略它们，因为它们并不有趣。

一系列401和200可能表示攻击者最终正确地猜到了密码并获得了管理页面。如果您忽略了这200个响应，您可能会认为这是一次不成功的蛮力攻击。

在看到像上面这样的成功攻击之后，您就会对每个请求的URL感兴趣--相同的IP地址，而不是响应代码。