- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Примерно раз в 1-2 дня наблюдаю ситуацию появления в логах множества строк с котом шибки 400.
Стоит nginx-0.7.64
Вот пример лога
Причем запросов
212.57.145.150 - - [30/Jan/2010:09:30:12 +0000] "-" 400 0 "-" "-"
За 2 секунды было сделано 200 штук.
Я их не стал сюда все копировать для экономии места.
Срабатывает антиддос защита сервера и заносит этот IP в фаервол.
Вопрос
Что это за множественные запросы с кодом 400 ?
Может это у кого-то из посетителей Opera/9.80 глючит?
Для справки
400 Bad Request (Плохой запрос)
Появился в HTTP/1.0.
Запрос не понят сервером из-за наличия синтаксической ошибки. Клиенту следует повторно обратиться к ресурсу с изменённым запросом.
Ну правильно, вы же блокируете клиента, часть запросов получаются незавершенные и nginx их воспринимает как синтаксически неправильные.
Вы действительно не догадались сразу или это такая "шоладемизация" для привлечения внимания к вашему антиддосу ?
Причем запросов
212.57.145.150 - - [30/Jan/2010:09:30:12 +0000] "-" 400 0 "-" "-"
За 2 секунды было сделано 200 штук.
Я их не стал сюда все копировать для экономии места.
Весьма разумная мысль :D. Видимо, не все еще потеряно...
Срабатывает антиддос защита сервера и заносит этот IP в фаервол.
Вопрос
Что это за множественные запросы с кодом 400 ?
Может это у кого-то из посетителей Opera/9.80 глючит?
Скорее всего, бот очень быстро закрывает соединение, не дождавшись ответа
от сервера. Например, http://sysoev.ru/nginx/docs/faq.html#econnaborted - т.е. нормальные
клиенты вполне такое могут вызвать.
Выставите подходящий уровень логгирования в nginx - узнаете подробнее.
Скорее всего, в вашем случае будет что-то
типа "client closed prematurely connection while reading client request line".
Ну правильно, вы же блокируете клиента, часть запросов получаются незавершенные и nginx их воспринимает как синтаксически неправильные.
Антиддос защита запускается по крону раз в минуту для анализа лог файла.
Так что каждый отдельный, поступающий запрос она не анализирует и не блокирует.
После того как IP адрес блокируется через фаервол, его в логах уже вообще не будет
zexis добавил 30.01.2010 в 16:19
Скорее всего, бот очень быстро закрывает соединение, не дождавшись ответа
от сервера.
Я пока так и не понял бот это или браузер пользователя создает эти ошибки 400.
Сначала вроде идут запросы похожие на серфинг пользователя, а потом БАЦ!
И пошло множество запросов с кодом 400 с одного IP.
Причем по 5-20 запросов в секунду.
zexis, да неважно бот или нет. Это прерванный запрос, в частности может быть и заблокированный бот. Даже в нормальных условиях закрытие браузера на середине запроса может вызвать подобную ошибку в логе.
Возьмите сниффер и посмотрите как эта ситуация возникает на уровне пакетов. Что тут объяснять.
И пошло множество запросов с кодом 400 с одного IP.
Причем по 5-20 запросов в секунду.
Если Вас досят - это скорее всего одино из проявлений ddos. И не обязательно,
что именно из-за прерывания запроса файерволом. Отключите блокировку - посмотрите
в лог через некоторое время, ну зачем тут сниффер :).
А если ничего больше о DDoS не свидетельствует - нужно дальше копать. Почему такое
может быть с нормальным клиентом - я привел пример выше.
Примерно раз в 1-2 дня наблюдаю ситуацию появления в логах множества строк с котом шибки 400.
Стоит nginx-0.7.64
Вот пример лога
Причем запросов
212.57.145.150 - - [30/Jan/2010:09:30:12 +0000] "-" 400 0 "-" "-"
За 2 секунды было сделано 200 штук.
Я их не стал сюда все копировать для экономии места.
Срабатывает антиддос защита сервера и заносит этот IP в фаервол.
Вопрос
Что это за множественные запросы с кодом 400 ?
Может это у кого-то из посетителей Opera/9.80 глючит?
Для справки
400 Bad Request (Плохой запрос)
Появился в HTTP/1.0.
Запрос не понят сервером из-за наличия синтаксической ошибки. Клиенту следует повторно обратиться к ресурсу с изменённым запросом.
защиту выбросите, если дело токо в логах и защите, либо измените параметры в защите.
inetnum: 212.57.145.0 - 212.57.145.255
netname: SURNET-P2P-LINKS
какаето p2p сетка, что у вас за проекты, может защита в данном случаи не подходит, и это нормальное состояние :)