Назад | Перейти на главную страницу

Запросы в стиле DDOS от изначально законных пользователей Firefox версии 52 (последней) - расширение вызывает это?

Интересно, видел ли кто-нибудь еще подобные явления с тем, что происходит на сайте, которым я помогаю управлять. В течение последних двух недель примерно 10-15 раз в день мы будем получать от тысяч до десятков тысяч запросов с одного IP-адреса.

Эти IP-адреса поступают со всего мира, в основном из США. Все они используют Firefox 52 версии.

Вот пример из наших логов:

[06/Apr/2017:11:58:10 -0500] XXX.XXX.XXX.XXX - - "GET / HTTP/1.1" 403 173 "[URL]" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"

Общая часть всех этих экземпляров: «WOW64; rv: 52.0) Gecko / 20100101 Firefox / 52.0». Иногда ОС бывает разной.

Мы получаем около 8-10 запросов в секунду, а затем обычно останавливаются (это продолжается еще долго после того, как наш ограничитель скорости выдаст им ошибки). Я видел, как он делал до 350 000 запросов одновременно.

Сначала я подумал, что это ботнет, так как он постоянно выскакивал. Но можно подумать, что они будут проводить более скоординированные атаки.

Затем я окопался и понял, что иногда эти посетители просматривают сайт, щелкают статью или читают форум, и тогда случаются сумасшедшие запросы. Конкретные URI не имеют ничего общего.

Я просмотрел IP-адреса некоторых из этих атак в нашей базе данных, а некоторые даже являются законными участниками сообщества.

Моя гипотеза заключается в том, что это вызвано расширением браузера, которое каким-то образом несовместимо с Firefox 52, поскольку это происходит только с этой версией. Трафик не кажется вредоносным.

Интересно, видит ли кто-нибудь знакомые «атаки» или кто-нибудь имеет представление о причине.

Я подозреваю, что вы видите симптомы этой ошибки Firefox: Кэшированный iframe выполняет ранее загруженные и динамически вставленные скрипты, выполняет сетевые вызовы перед событием "onload".

Это влияет на веб-сайты в iframe. Использует ли веб-сайт iframe или это популярный сайт, который мошенники могли встроить в iframe?

Вот комментарий к ошибке:

Я работаю в компании AdTech, и после Firefox 52 мы заметили увеличение (примерно в 5 раз) количества запросов рекламы из браузера Firefox, но фактическое количество объявлений, которые наши скрипты могут отслеживать, осталось прежним.

Исправление отсутствует, но я ожидаю, что некоторое время будет много незакрепленных браузеров.

Глядя на предоставленный вами пользовательский агент, кажется, что он не обеспечивает детального уровня исправлений, поэтому было бы довольно сложно заблокировать их на стороне сервера.