nginx smallddos

отфильтруйте IP и забаньте их.

ну разве что всех включая и живых пользователей )

по другому пока не получается.

как можно отловить таких ботов кто что может посоветовать ?

Не понял. Вы же сами привели кривые запросы, или их юзеры тоже могут обычные создавать?

Здравствуйте.

Если не ошибаюсь в этих запросах отсутствует User Agent.

Как вариант можно их отсекать поставив фильтр на уровне nginx для запросов без user agent'a.

Ещё вариант отсекать именно POST запросы. А вообще если запросы не частые, то атакой это

назвать нельзя. Покажите пожалуйста, как именно вы пытались отлавливать их по кол-ву запросов?

С ув. Станислав

1) посчитать количество уникальных IP получивших ошибку 400 – что бы оценить размер ботнета.

2) Посмотреть сколько запросов за 5 минут делае в среднем один бот, что бы выбрать подходящие лимиты бана.

3) Реализовать алгоритм, который забанит все IP которые за 5 минут получили ошибку 400 более N раз. Из бана исключить подсети поисковиков.

Есть отлаженное решение, которое реализует этот алгоритм и многие другие подобные для поиска ботов в логах.

Обращайтесь настрою.

ICQ#: 169938679

каждый из ботов делает примерно по 3-4 запроса в минуту.

Вот с пустым юзерагентов не получилось что то настроить, если нет юзерагента то не пускать.

где то 20 запросов среднее.

POST запросы на морду? Там у вас есть формы и есть что отправлять? Если нету - сразу же отправляйте эти ip в фаервол.

Откройте файл конфигуарции nginx

Найдите там свой server

далее после listen xx.xx.xx.xx

Вставьте

if ($http_user_agent = "-") {

return 444;

}

Сохраните и сделайте рестар nginx

Да, формы есть.

Да , только что то не помогает, и не возвращает ботам 444 ;)

Я думаю что это связано с тем что запросы битые приходят или не полные.

так у вас запросы не корректные, они и так не доходят до бэкенда.

забейте и все, можно в фаерволе их порезать по сигнатуре 'POST www.xxx.com HTTP/1.1' или распарсить лог и забанить.

горе ддосеры вам попались