Хорошо, это расстраивает, мой сайт получил тысячи просмотров страниц / подключений за последние 3 дня, и, наконец, у нас закончилась ежемесячная пропускная способность. Мы купили дополнительную пропускную способность и закрыли сайт на техническое обслуживание. Мы проверили логи, нашли ответственный IP и забанили его, но когда мы открыли сайт, атака продолжилась. На этот раз это было с нескольких IP-адресов из разных стран, они тысячи раз заходили на разные страницы нашего сайта.
Что нам делать?
РЕДАКТИРОВАТЬ Это может быть важно: робот или хакер, или кто-то еще, кажется, придерживается одной веб-страницы и посещает ее снова и снова (например, наша страница членства на форуме), но когда мы ограничиваем разрешения этой страницы, он просто идет и находит другие места. Странно.
Не блокируйте робота полностью, а замедляйте его с помощью правил QoS (в linux проверьте команду "tc"). Также, прочитайте это. Вот как люди, управляющие этим сайтом, решили проблемы с помощью Haproxy.
Я хотел бы предложить PHREL. Очень маленький и простой инструмент, который упрощает динамическую блокировку оскорбительных IP-адресов. Я развернул его на некоторых кэширующих серверах имен и сразу получил результат. Проверьте это немного и выясните, какими должны быть ваши пороги, и позвольте ему разорваться!
Играть в крота обычно бесплодно, но, возможно, это единственный вариант.
Возможно, вы могли бы автоматизировать идентификацию ваших потребителей полосы пропускания. Я бы посмотрел на мониторинг веб-журналов и выявление аномального поведения, такого как один и тот же IP-адрес, просматривающий одну и ту же страницу более одного раза в секунду в течение определенного периода времени, или какой-либо другой аналогичный показатель. Вы не упоминаете, какая это платформа, но было бы немного проще реализовать в Linux, чем в Windows.