DDos и Nginx: Настройка защиты от однотипных запросов

DDos и Nginx: Настройка защиты от однотипных запросов

29.01.2013 12:39:27 Просмотров 24 Источник

DDos это не назовешь...

Но в логах:

**********- - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "029587q437yp8.info" "Mozilla/1.22 (compatible; MSIE 2.0d; Windows NT)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "dfn6p1.ru" "Mozilla/4.0 (compatible; MSIE 5.0; Windows ME; Link Checker 2.x.xx http://www.g2so10ua647.com )"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "so3b7.biz" "Mozilla/5.0 (compatible; Ask Jeeves/Teoma; http://4hgjnpi1jmqa.806k577.com/en/docs/about/webmasters.shtml)" 
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "n2y5kyuhnh0wn.ru" "Mozilla/5.0 (compatible; PWeBot/3.1; http://www.a4x38we26a2l.net/robot.php)" 
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "facq3q02d0.com" "Mozilla/2.0 (compatible; MSIE 3.02; Update a; AK; Windows NT)"
**********- - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "g5t893l9t2.biz" "Mozilla/4.0 (compatible; IE-Favorites-Check-0.5)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "ecrw83g.biz" "Mozilla/4.0 (compatible; Yahoo Japan; for robot study; kasugiya)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "3kb9hq4l8.ru" "Mozilla/5.0 (+http://www.sw998k43g.com/mammoth)  Mammoth/0.1"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "i96ybmq6x3038.biz" "Mozilla/3.0 (Win95; I)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "0mvqo050wu4.biz" "Mozilla/5.0 (compatible; SummizeBot +http://www.l7f9g7sjg10.com )"
**********- - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "9d413731m146.biz" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) Web Link Validator 2.x)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "oqv491k.info" "Mozilla/5.0 (compatible; MojeekBot/2.0; http://www.f17p1k.com/bot.html)" 
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "cpklu.biz" "Mozilla/5.0 (compatible; Konqueror/3.5; Linux) KHTML/3.5.5 (like Gecko) (Exabot-Thumbnails)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "z8372ogh2.ru" "Mozilla/4.0 (compatible; GPU p2p crawler http://gpu.lc128anw.net/search_engine.php)" 
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "8605e3o1d0c1.net" "Mozilla/2.0 (compatible; MSIE 3.02; Update a; AK; Windows NT)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "g612u7ts367.info" "Mozilla/5.0 (compatible; pmoz.info ODP link checker; +http://fy29cq3fvag7a.info/doc/botinfo.htm)" 
**********- - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "m6id7mosv.biz" "Mozilla/3.0 (DreamPassport/3.0)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "rlnx8v222x4.net" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; QihooBot 1.0 qihoobot@qihoo.net)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "b5637037uq0f7.net" "Mozilla/4.0 (compatible; MSIE 5.0; NetNose-Crawler 2.0; A New Search Experience: http://www.netnose.com )"
**********- - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "3stt7.ru" "Mozilla/3.0 (Win95; I)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "6o9rzcq6v9456.net" "Mozilla/4.0 (compatible; www.linkguard.com Linkguard Online 1.0; Windows NT)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "us586r78inia9t.net" "Mozilla/3.0 (Liberate DTV 1.1)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "6q6515447.biz" "Mozilla/5.0 (SunOS 5.8 sun4u; U) Opera 5.0 [en]"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "fnt123o97o0k3.net" "Mozilla/5.0 (compatible; heritrix/1.5.0-200506231921 http://9l14qn1a3.nla.gov.au/crawl.html)" 
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "i0245k7gb.ru" "Mozilla/5.0 (compatible; Konqueror/2.0.1; X11); Supports MD5-Digest; Supports gzip encoding"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "2r07m49.biz" "Mozilla/4.75C-ja [ja] (X11; U; OSF1 V5.1 alpha)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "u19ury04punih0.info" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; SAFEXPLORER TL)"
********** - - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "1oj8faam3qk.com" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 95) TrueRobot; 1.5"
**********- - [28/Jan/2013:21:13:09 +0100] "GET / HTTP/1.0" 499 0 "lyh358.ru" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; StumbleUpon.com 1.760; .NET CLR 1.1.4322)"

Где то в нете встречал именно под такую хрень защиту - но не могу найти.. не думал что и меня постигнет..
Кто знает или видел.. Подскажите, пожалуйста.

У вопроса есть решение - Посмотреть?

https://ru.stackoverflow.com/questions/187823/ddos-%d0%b8-nginx-%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b7%d0%b0%d1%89%d0%b8%d1%82%d1%8b-%d0%be%d1%82-%d0%be%d0%b4%d0%bd%d0%be%d1%82%d0%b8%d0%bf%d0%bd%d1%8b%d1%85-%d0%b7%d0%b0%d0%bf%d1%80%d0%be%d1%81%d0%be%d0%b2#comment187828_187823
Нету там решения.. Так пару балаболок.. И то у них ситуация не известная - а у меня четко поставленная задача ликвидировать говнотрафик...
https://ru.stackoverflow.com/questions/187823/ddos-%d0%b8-nginx-%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b7%d0%b0%d1%89%d0%b8%d1%82%d1%8b-%d0%be%d1%82-%d0%be%d0%b4%d0%bd%d0%be%d1%82%d0%b8%d0%bf%d0%bd%d1%8b%d1%85-%d0%b7%d0%b0%d0%bf%d1%80%d0%be%d1%81%d0%be%d0%b2#comment187829_187823
хм, Дунин балаболка? ) ок. парсим лог - получаем коллекцию ip-адресов - iptables ... DROP для каждого из них.
https://ru.stackoverflow.com/questions/187823/ddos-%d0%b8-nginx-%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b7%d0%b0%d1%89%d0%b8%d1%82%d1%8b-%d0%be%d1%82-%d0%be%d0%b4%d0%bd%d0%be%d1%82%d0%b8%d0%bf%d0%bd%d1%8b%d1%85-%d0%b7%d0%b0%d0%bf%d1%80%d0%be%d1%81%d0%be%d0%b2#comment187831_187823
ясно собственно ничего не меняется - спасибо

Ответы - DDos и Nginx: Настройка защиты от однотипных запросов / DDos и Nginx: Настройка защиты от однотипных запросов

Является ответом!
Sergiks

29.01.2013 06:22:30

499 ошибка — когда клиент обрывает соединение, не дожидаясь ответа [ref].

Посмотрите на Fail2Ban для анализа логов и бана плохишей.

https://ru.stackoverflow.com/questions/187823/ddos-%d0%b8-nginx-%d0%9d%d0%b0%d1%81%d1%82%d1%80%d0%be%d0%b9%d0%ba%d0%b0-%d0%b7%d0%b0%d1%89%d0%b8%d1%82%d1%8b-%d0%be%d1%82-%d0%be%d0%b4%d0%bd%d0%be%d1%82%d0%b8%d0%bf%d0%bd%d1%8b%d1%85-%d0%b7%d0%b0%d0%bf%d1%80%d0%be%d1%81%d0%be%d0%b2/187847#comment190308_187847
Благодарю + туда же ipset вогнал...
alexadmin

04.09.2013 01:51:38

Iptables это самый правильный выход при однотипных запросах. Даже простенький VPS с таким справится. Более детально можете стучать в асю 153439

Закрыть X