Мой веб-сервис apache получает большое количество запросов в течение нескольких дней, каждый из которых имеет несколько случайный вход для получения доступа.
Я идентифицировал около 60 таких IP-адресов (несколько примеров ниже), все принадлежат Google. есть ли способ узнать больше о происхождении злоумышленника? или я должен просто заблокировать эти IP-адреса. во-вторых, следует ли пытаться заблокировать идентифицированные подсети IPS (74.125.46. *) в качестве превентивной меры?
72.14.194.65 64.233.172.20 74.125.75.19 72.14.194.33 74.125.46.87 74.125.44.91 74.125.46.91
Вы можете защитить себя от таких DOS-атак с помощью ограничения скорости IPTABLE.
http://blog.bodhizazen.net/linux/prevent-dos-with-iptables/
кроме этого fail2ban - еще один скрипт, который может вам в некоторой степени помочь
http://www.the-art-of-web.com/system/fail2ban/
При подозрении на атаку на ваш сайт первый вопрос, который вы должны задать: действительно ли она преднамеренно злонамеренная? В вашем случае подумайте о том, что это может вызвать неверно направленный веб-паук. У тебя есть robots.txt на месте?
Вы смотрели на User-Agent? Запросы, поступающие от Google, должны идентифицировать любую службу, пытающуюся получить доступ к вашему сайту. Строки пользовательского агента Spider часто содержат URL-адрес, который содержит дополнительную информацию о них.
Если все это случайные IP-адреса из случайных диапазонов, то, скорее всего, ваш сайт решил атаковать ботнет, а не люди. Таким образом, их блокировка может заблокировать некоторых законных людей. А что произойдет, если IP будет переназначен?
Вы действительно должны решить эту проблему с помощью стандартной защиты от грубой силы для входа в систему. Например, всего 10 попыток за 10 минут, а иногда около 3-5 требуют ввода кода. Таким образом, в конечном итоге боты просто остановятся, поскольку они никогда не смогут войти в систему.
Единственный раз, когда я прибегаю к запрету IP-адресов, - это когда IP-адрес выполняет так много запросов, что это влияет на производительность или съедает значительную пропускную способность. Только в этом случае преимущества перевешивают неудобства того, кто имеет этот IP.
Скорее всего, это порт 80 или 443 - и это «google-bot». Есть несколько вещей, которые вы можете сделать - один использует mod_bandwidth и ограничивает пользователя, другой настраивает файл robots.txt -
Недавно мы начали использовать облачный брандмауэр, который оказался огромным успехом - фактически, сделал это для сайта GroundHog - который вырос с чуть менее 30 посещений в день до 2,2 миллиона в день сурка - 300 тыс. В час в некоторые моменты времени.
Возможно, стоит заглянуть в @, если это вам поможет - у них есть бесплатная и платная версии, однако БЕСПЛАТНАЯ работает отлично для такого объема трафика - это называется Cloud Flare.
Все остальные предложения здесь хороши.
Надеюсь, это вам немного поможет.