Попробуйте блокировать ботов, которые на запрашивают css и js - Администрирование серверов

Защита от ботов. NGINX limit_req + белый список яндекс на основе rDNS

andreyzlat · 2017-01-20T19:32:50.0000000Z

Устал от ботов. Интересует некая помощь в организации чуда блокирующего назойливых ботов, может получится создать подобное общими силами. Что могу сам, но не хочу, т.к. есть проблемы в будущем: Могу создать систему на основе ipset+fail2ban (скан на брут)+белый список подсетей поисковиков на основе APN. Но проблема, как заверяет Гугл и Яндекс, иногда их IP адреса ботов меняются, добавляются новые. Очень бы не хотелось блочить в prerouting наших уважаемых полезных ботов и в итоге вылетать из поиска, ipset злая штука. Отсюда делаю вывод - способ рабочий на некоторое время. Режим поставил и забыл тут не сработает.. хотя на пару лет думаю хватит. Что нужно в идеале? Имеем NGINX. Как известно там есть прекрасная limit_req. Только проблема, у меня поисковые боты настроены так, что сканируют мой сервер по 5-10 запросов в секунду. Сайтов на сервере несколько. Медленно сканировать каждый сайт не вариант. От 10-30 сайтов на одном сервере получится каша в запросах, могут сканироваться равномерно, а могут и сразу 10 сайтов за секунду и иногда будет срабатывать limit_req. Поэтому юзать limit_req без белого списка не вариант. Как получать такой белый список поисковиков? Есть только одно предложение: все запросы, возможно на основании логов nginx или в реальном времени сканировать и делать обратный запрос rDNS lookup, но при каждом коннекте брута это будет расточительством. Т.е. нужна некая логика, например, видим что за 1 час было более 100 запросов к бэкэнду (чтобы картинки и и прочая статика там не оказались). Срабатывает burst встроенный в limit_req . Если он срабатывает то отправляем запрос rDNS lookup. Если видим там yandex или google, то сохраняем этот IP в белый список и далее более никогда для этого списка белых IP limit_req не применяем. Также сделать возможность этот белый список подключать к PHP, что будет хуже по скорости но расширит возможности автоматизации. Сам писать модули для NGINX не умею, умел бы, то не спрашивал, а выложил готовый вариант. Но могу принять участие в помощи для разработки логики и т.п. На крайний случай всё это реализовать на PHP. Вопрос лишь один, будет ли точность в определении rDNS или я так понимаю туда можно записать любой домен и он его отрезольвит как родной? т.е. получится тоже самое что и подмена useragent. Короче, как вообще определять эти гребаные ip адреса поисковиков, ведь эти неблагодарные ***** почемуто не хотят выкладывать в открытый доступ все свои ip в виде xml списка. Это для меня загадка, ведь списки AS доступны всем, в чем здесь секретность?? ЯНДЕКС ОТВЕТЬ! ЗАЧЕМ ТЫ НАМ СОЗДАЕШЬ НАДУМАННЫЕ ПРОБЛЕМЫ?

D

1114

Dram

22 января 2017, 12:23

#21

Я бы сюда еще добавил бы блокирование ботов, которые на запрашивают css и js, только пока не придумал как это реализовать в NGINX. Возможно ли это?

S

114

smbbws

22 января 2017, 17:11

#22

вставляем локейшин в каждую секцию сервер

location ~* \.(css|js|jpg|jpeg|png|gif|bmp|svg)$ {
-------------лимиты на статику
}

D

1114

Dram

22 января 2017, 17:14

#23

smbbws я бы хотел вычеслять ботов НЕ ЗАГРУЖАЮЩИХ ксс, а не тормозить загрузку статики для всех :))) Что за бред вы предлагаете?

D

228

Dimka

22 января 2017, 18:31

#24

Dram:
Я бы сюда еще добавил бы блокирование ботов, которые на запрашивают css и js, только пока не придумал как это реализовать в NGINX. Возможно ли это?

Поставить при запросе css и js - отдельную куку.

Обратите внимание, что css и js могут быть в кеше и не запрашиваться (у юзеров, которые были на сайте до введения этой куки). В этом случае: создать отдельный css и запрашивать его css?random_number

Осталось решить проблему первого просмотра: сначала грузитcя html, а потом css и js

Есть ли защита от Статистика встала Проблема с кешированием сайта

D

1114

Dram

22 января 2017, 18:35

#25

Dimka - я тоже нашел эту статью на Хабре, не нравится мне этот метод. Примерно 2% юзеров юзают сайт без кук, не хочу их банить

D

228

Dimka

22 января 2017, 18:44

#26

Dram, но, им можно существенно урезать лимиты.

1

D

1114

Dram

22 января 2017, 18:47

#27

Спс за идею + эта мысль повесить куку не обязательно к какртинке - просто куку и тормозить тех кто ее не имеет. (если он не из белого списка естественно)

D

228

Dimka

22 января 2017, 18:56

#28

Dram, если писать не в куки, можно попробовать решение: при обращении к css писать в memcache (текущий ip).

D

1114

Dram

22 января 2017, 18:59

#29

Смотрите что сваял в плане добавить к коду выше. 99.8% ботов лезут по протоколу HTTP/1.1

Не могу че то понять как тут указать что если нет куки - то binary_remote_addr?

map "$whitelist:$server_protocol:$http_cookie" $limit3 {
default 0;
"0:HTTP/1.1:~somecookie" "$binary_remote_addr";
}
limit_req_zone $limit3 zone=bot_cookie:10m rate=2r/m;

D

228

Dimka

22 января 2017, 19:08

#30

Мне кажется, что нет куки - пустая строка

"0:HTTP/1.1:"

Что делать, чтобы попасть в ответы Google Bard

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов

Защита от ботов. NGINX limit_req + белый список яндекс на основе rDNS