FonOdinus 92 Опубликовано: 2013-02-03 14:44:09 Share Опубликовано: 2013-02-03 14:44:09 Приветствую. Обнаружил намедни что не откликается веб сервер, зашел и узрел LA в районе 100-120. В логах апача обнаружилось слудующее: 46.185.62.186 - - [03/Feb/2013:16:08:31 +0200] "POST / HTTP/1.0" 200 22260 "7ww5t.com" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.42vay9100052m4.com.cn/help.html)" 46.185.62.186 - - [03/Feb/2013:16:08:42 +0200] "POST / HTTP/1.0" 200 22260 "h095s9tuo.ru" "Mozilla/5.0 (compatible;MAINSEEK_BOT)" 46.185.62.186 - - [03/Feb/2013:16:08:48 +0200] "POST / HTTP/1.0" 200 22260 "83262r32gkixr.biz" "Mozilla/4.0 (compatible; SPENG)" 46.185.62.186 - - [03/Feb/2013:16:08:56 +0200] "POST / HTTP/1.0" 200 22260 "08f8ai98c51.com" "Mozilla/4.0 (compatible; MSIE enviable; DAUMOA 2.0; DAUM Web Robot; Daum Communications Corp., Korea; +http://ws.5d50k2r61.net/aboutkr.html)" 46.185.62.186 - - [03/Feb/2013:16:08:53 +0200] "POST / HTTP/1.0" 200 22260 "3b8ihchti74w5.ru" "Mozilla/5.0 (compatible; Abonti/0.8 - http://www.envzi241nks913.com)" 46.185.62.186 - - [03/Feb/2013:16:08:49 +0200] "POST / HTTP/1.0" 200 23000 "fq5nd0g.info" "Mozilla/5.0 (compatible; MSIE 6.0; Podtech Network; crawler_admin@84oj3a.net)" 46.185.62.186 - - [03/Feb/2013:16:08:50 +0200] "POST / HTTP/1.0" 200 22260 "hjs2dk7924c3za.net" "Mozilla/5.0 (compatible; heritrix/1.5.0-200506231921 http://5gcp5p.nla.gov.au/crawl.html)" 46.185.62.186 - - [03/Feb/2013:16:08:50 +0200] "POST / HTTP/1.0" 200 22260 "4a8f3kb.info" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) Active Cache Request" 46.185.62.186 - - [03/Feb/2013:16:08:58 +0200] "POST / HTTP/1.0" 200 22260 "08l507o72.ru" "Mozilla/5.0 (compatible; Synoobot/0.9; http://www.hmoesp439.com/3z440n/bot.html)" 46.185.62.186 - - [03/Feb/2013:16:08:54 +0200] "POST / HTTP/1.0" 200 22260 "igkz9cu50fb983.info" "Mozilla/3.0 (compatible; Opera/3.0; Windows 95/NT4) 3.2" 46.185.62.186 - - [03/Feb/2013:16:08:48 +0200] "POST / HTTP/1.0" 200 22260 "9636s88mwo4v.info" "Mozilla/5.0 (compatible; +http://www.oe9mom.com/evrinid)" 46.185.62.186 - - [03/Feb/2013:16:08:59 +0200] "POST / HTTP/1.0" 200 22260 "nfcne.info" "Mozilla/5.0 (Windows;) NimbleCrawler 1.12 obeys UserAgent NimbleCrawler For problems contact: crawler@healthline.com" 46.185.62.186 - - [03/Feb/2013:16:08:50 +0200] "POST / HTTP/1.0" 200 22260 "y4r3j4g.ru" "Mozilla/4.0 (compatible; MSIE 5.0; AOL 5.0; Windows 95; DigExt; Gateway2000; sureseeker.com)" 46.185.62.186 - - [03/Feb/2013:16:08:39 +0200] "POST / HTTP/1.0" 200 22260 "57113447.info" "Mozilla/4.72 [en] (BACS http://www.ba.be)" 46.185.62.186 - - [03/Feb/2013:16:08:44 +0200] "POST / HTTP/1.0" 200 22260 "s131hrx10.com" "Mozilla/5.0 (compatible; heritrix/1.7.0 +http://www.521ky897.com/)" 46.185.62.186 - - [03/Feb/2013:16:08:58 +0200] "POST / HTTP/1.0" 200 22260 "r654i3o08r255x.com" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 95) VoilaBot; 1.6" 46.185.62.186 - - [03/Feb/2013:16:08:37 +0200] "POST / HTTP/1.0" 200 22260 "r9466p.net" "Mozilla/3.0 (Vagabondo/2.0 MT; webcrawler@14y4v2k.nl; http://34r3q2955.nl/)" 46.185.62.186 - - [03/Feb/2013:16:08:47 +0200] "POST / HTTP/1.0" 200 22260 "2l7xf.biz" "Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)" Подобных запросов с этого айпи были десятки тысяч, проблема решилась путем закрытия данного уникума на маршрутизаторе. Вопрос в том, как уберечься от таких вот "тролей", можно ли вообще подлатать апач от таких атак? Какие следует принять меры по "работе" с этим айпи? Жалобы? Письма? Общественное мнение? Заблаговременно спасибо всем откликнувшимся. Ссылка на сообщение Поделиться на других сайтах
andryas 1 059 Опубліковано: 2013-02-03 14:59:31 Share Опубліковано: 2013-02-03 14:59:31 Первое, что пришло в голову - ограничить число запросов за интервал времени от каждого клиента. Ссылка на сообщение Поделиться на других сайтах
tivi 56 Опубліковано: 2013-02-03 15:31:21 Share Опубліковано: 2013-02-03 15:31:21 Первое, что пришло в голову - ограничить число запросов за интервал времени от каждого клиента. +1 ограничить кол-во запросов с одного ай-пи в единицу времени. был патч, который добавлял что то вроде MaxServersPerIP +во фре (если апач под нею крутится) можно ограничить то же самое средствами самой фри. Ссылка на сообщение Поделиться на других сайтах
gbot 11 Опубліковано: 2013-02-03 15:43:24 Share Опубліковано: 2013-02-03 15:43:24 Не первый раз подобное вижу. Поставьте nginx Им можно не только ограничивать по кол-ву запросов/ip, но и уберечь апач от подобных запросов и еще кучу всякого рода мусора. Ссылка на сообщение Поделиться на других сайтах
Ihor 7 Опубліковано: 2013-02-03 19:38:23 Share Опубліковано: 2013-02-03 19:38:23 POST флуд Правила в Iptables помогут Ссылка на сообщение Поделиться на других сайтах
muff 115 Опубліковано: 2013-02-03 19:52:11 Share Опубліковано: 2013-02-03 19:52:11 Прицепи mod_evasive. Настройка mod_evasive на веб-сервере под FreeBSD. Ссылка на сообщение Поделиться на других сайтах
Sanito 129 Опубліковано: 2013-02-03 20:20:37 Share Опубліковано: 2013-02-03 20:20:37 nginx поставь ) И 5 запросов в секунду с одного ip. Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2013-02-03 21:32:37 Share Опубліковано: 2013-02-03 21:32:37 Плюсую за nginx, + php-fpm бэкэнд... Ссылка на сообщение Поделиться на других сайтах
mental 1 Опубліковано: 2014-01-04 20:17:05 Share Опубліковано: 2014-01-04 20:17:05 nginx способен выдерживать фантастические нагрузки. nginx + php-fpm либо просто fastcgi. он на порядок меньше памяти потребляет. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас