我的服务器的CPU在过去几天一直在增长,直到它降低了请求。 我一直在查看日志,看到日志中的某些IP只是简单地下载我的网站的内容,如.js,.css。 图像文件等。一遍又一遍。 知识产权通常在中国。 我也看到他们的其他请求试图find服务器上不存在的文件。 喜欢
www.example.com/lawson-consultant-in-independence/
要么
/劳森-显影剂在英镑-高度/
这些地址与我们的网站无关。
我试图阻止第一个IP,但它看起来像现在通过许多不同的IP。 我认为这是什么使我的CPU秒杀。
我的问题是,如何防止这种types的事情发生? 我怎样才能保持我的网站运行和可用?
当时我正在研究如何阻止那些在一定时间内发送太多请求的人,但是我不想意外地阻止BingBot,GoogleBot和其他蜘蛛。 在这种情况下,人们做什么来防止这种types的攻击? 如果是攻击?
如果您不需要为这些IP提供内容,请将其阻止。 如果你不想向中国提供内容,请阻止整个networking或整个国家。
或者,可以使用诸如fail2ban之类的工具来阻止试图访问不存在的页面的任何IP。
对于Windows你有ts.block或埃文·安德森的工具在这里描述: 是否fail2ban做Windows?
像Rory说的那样,Fail2ban是一个很好的工具。 我在大学学到的一点点“修补程序”是在Iptables中添加以下规则,直到您能够真正解决问题:
-A INPUT -p tcp -m tcp --dport 80 -m recent --set --name HTTP --rsource -A INPUT -p tcp -m tcp --dport 80 -m recent ! --rcheck --seconds 10 --hitcount 20 --name HTTP --rsource -j ACCEPT
通过用–dport 443replace–dport 80,端口443也可以做同样的事情。
这样做只是阻止那些在Y秒内做出更多X请求的人。 你可以改变这个以适应你的需求。
编辑:未能阅读…. IIS …对不起!
你需要的是确保你的日志文件正在抓取每一个IIS日志logging选项,然后给自己一个好的日志文件读取器(可以打破长时间请求和/或频繁请求的来源)。 正如另一篇文章所指出的那样,如果来自中国,俄罗斯等,不要害怕取消整个IP范围,并且你看到类似的IP范围模式。 networking日志专家是我生产报告的最爱。