Вчера наш сервер упал 1 раз за целый год. Поэтому я проверил журналы и обнаружил некоторые странные вещи. Есть один IP-адрес, который делает около 450 индивидуальных запросов к сайту за 12 минут. У нас есть интернет-магазин ... поэтому посещение 450 сайтов не кажется нормальным человеческим поведением. Это то, что я могу рассматривать как ддос или что здесь происходит?
И что многие запросы приводят к сбою нашего сервера с этим сообщением об ошибке
upstream prematurely closed connection while reading response header from upstream
Вот выдержка из двух файлов журналов:
Edit1:
Это тоже интересно выглядит ...
Расположение / Имя хоста
80.87.117.22
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/17.17134
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; http://www.google.com/bot.html) Safari/537.36
Mozilla/5.0 (compatible; Googlebot/2.1; startmebot/1.0; https://start.me/bot)
Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Mwendo/1.1.5 Safari/537.21
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
привет из Польши!
Нет, по определению DDoS означает Распространено.... так что задействовано гораздо больше, чем один IP. В вашем случае вы можете (со временем) назвать это DoS (отказ в обслуживании).
Но 450 запросов в течение 12 минут (720 секунд) делают менее одного запроса в секунду. И эти запросы включают такие для изображений, для css и фреймы и так далее. Так что для меня это не считается DoS-атакой. Подумайте о сотнях обращений в секунду или больше (или намного больше) для DoS- или DDoS-атак.
Вероятно, браузер этого пользователя активировал какую-то предварительную выборку для загрузки заранее родственных страниц текущей загруженной страницы, чтобы ускорить взаимодействие с пользователем, когда пользователь нажимает ссылку на текущей странице.