ЦП моего сервера за последние несколько дней резко увеличился до такой степени, что он отбрасывает запросы. Я просматривал журналы и вижу в журналах определенные IP-адреса, которые просто загружают содержимое моего сайта, например .js, .css. файлы изображений и т. д. снова и снова. IP обычно находится в Китае. Я также вижу другие их запросы, пытающиеся найти на сервере несуществующие файлы. подобно
www.example.com/lawson-consultant-in-independence/
или
/ Lawson-Developer-in-Sterling-Heights /
Эти адреса не имеют ничего общего с нашим сайтом.
Я попытался заблокировать первый IP-адрес, но похоже, что теперь он проходит через много разных IP-адресов. Я думаю, это то, из-за чего мой процессор резко скачивает.
Мой вопрос в том, как предотвратить подобные ситуации? Как я могу ответить, чтобы мой сайт работал и был доступен?
Я читал, как есть определенные способы блокировать людей, которые отправляют слишком много запросов в течение определенного периода времени, но я не хочу случайно блокировать такие вещи, как BingBot, GoogleBot и других пауков. Что люди делают в этом случае, чтобы предотвратить этот тип атаки? Если это нападение?
Если вам не нужно предоставлять контент на эти IP-адреса, заблокируйте их. Заблокируйте весь сетевой блок или всю страну, если вы не хотите предоставлять контент в Китай.
В качестве альтернативы можно использовать такие инструменты, как fail2ban, для блокировки любого IP-адреса, который пытается посетить несуществующую страницу.
Для Windows у вас есть ts.block или инструмент Эвана Андерсона, описанный здесь: Подходит ли fail2ban для Windows?
Как сказал Рори, Fail2ban - отличный инструмент. Небольшое «исправление», которое я узнал в колледже, заключалось в добавлении следующего правила в Iptables до тех пор, пока вы не сможете решить проблему реальным способом:
-A INPUT -p tcp -m tcp --dport 80 -m recent --set --name HTTP --rsource
-A INPUT -p tcp -m tcp --dport 80 -m recent ! --rcheck --seconds 10 --hitcount 20 --name HTTP --rsource -j ACCEPT
То же самое можно сделать для порта 443, заменив --dport 80 на --dport 443.
Это просто блокирует людей, которые делают более X запросов за Y секунд. Вы можете изменить это по своему усмотрению.
РЕДАКТИРОВАТЬ: не удалось прочитать .... IIS ... извините!
Что вам нужно, так это убедиться, что файлы журнала собирают все параметры ведения журнала IIS, а затем получить себе хороший читатель файлов журнала (такой, который может сломаться, откуда приходят длинные и / или частые запросы). Как отмечалось в другом сообщении, не бойтесь запрещать целые диапазоны IP-адресов, если они из Китая, России и т. Д., И вы видите похожие шаблоны диапазонов IP-адресов. Web Log Expert мне очень нравится из-за создаваемых им отчетов.