У нас есть веб-сайт, который, похоже, пострадал от атаки отказа в обслуживании. Было задействовано несколько IP-адресов, и все они были зарегистрированы в Facebook.
Вот выдержка из файлов журнала Apache:
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
Как видите, запрошенный URL-адрес действителен, но содержит бессмысленную строку запроса. Таких запросов сотни в секунду.
Я думаю, что и IP-адрес, и реферер подделаны. Даже если бы вышеуказанный URL был опубликован / опубликован на Facebook, он не объяснил бы все другие тысячи случайных запросов, поступающих с того же IP-адреса и реферера.
Хотя мы можем заблокировать IP-адрес через наш брандмауэр, используются другие IP-адреса (все зарегистрированы в Facebook), и мы не хотим блокировать Facebook, если они фактически не несут ответственности.
Вероятно ли, что источник этих атак будет откуда-то еще, и как мы можем противостоять им?
Это когда Facebook запрашивает у вашего сервера изображения или отрывки текста, чтобы назвать несколько вещей. Если ссылка была опубликована и стала вирусной, например, она будет загружена каждый просмотр указанной ссылки. Вы можете связаться с legal@facebook.com, чтобы они могли просмотреть его и, возможно, определить, действительны ли ссылки.
Обратите внимание, что это не атака отказа в обслуживании, а то, что ваш сервер не может справиться с притоком трафика. Атаки типа «отказ в обслуживании» служат не более чем для того, чтобы сделать ваш сайт непригодным для использования, в то время как это всего лишь загруженный сервер.
Не думаю, что это фейсбук.
Вы пытались получить доступ именно к этому URI - также может быть, что сервер скомпрометирован и что на самом деле здесь что-то слушает. Здесь вы получаете статус HTTP 100 - что-то происходит - это не File not Found.
И, пожалуйста, внимательно посмотрите на это - если у вас установлена веб-оболочка, она скрыта. Посмотрите здесь, в конце, как это может выглядеть: http://daniel-khan.at/index.php/2013/05/12/webserver-attack-deconstructed/
Во всех остальных случаях (на самом деле это поддельный URI, который ни на что не указывает):
Если у вас действительно много совпадений, вы можете использовать iptables с ограничением http://thelowedown.wordpress.com/2008/07/03/iptables-how-to-use-the-limits-module/
Если blog неверный путь вообще попробуйте заблокировать его в .htaccess
<Directory /blogn>
Order Deny,Allow
Deny from all
</Directory>
Таким образом, сервер не будет сильно загружаться и, возможно, боты устанут.