DDoS - непонятный формат IP-адреса - Форум об интернет-маркетинге
Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 26.04.2018, 17:35   #1
Аспирант
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 202
Репутация: 12963

По умолчанию DDoS - непонятный формат IP-адреса

Коллеги, второй час уроды из Украины DDoSят сайт. IP-адрес 192.162.113.42 заблокировал. Но в логах проскакивают непонятные IP-адреса, на которые отдается код 200:

--, 192.162.113.42 470 2458 -1\" OR 3+863-863-1=0+0+0+1 --, 192.162.113.42 - - [26/Apr/2018:17:29:01 +0300] "GET /fitness/ HTTP/1.0" 200 2009

2458 '\", 192.162.113.42 - - [26/Apr/2018:17:29:05 +0300] "GET /fitness/ HTTP/1.0" 200 2009
2458 1'\", 192.162.113.42 - - [26/Apr/2018:17:29:12 +0300] "GET /fitness/ HTTP/1.0" 200 2009

9876 \xbf'\xbf\", 192.162.113.42 - - [26/Apr/2018:17:22:13 +0300] "GET /news/ HTTP/1.0" 200 9427

--, 192.162.113.42 473 2486 -1\" OR 2+627-627-1=0+0+0+1 --, 192.162.113.42 - - [26/Apr/2018:17:26:43 +0300] "GET /partners/ HTTP/1.0" 200 2037

Не подскажете, что это за хрень и как ее заблокировать через .htaccess?
fliger вне форума   Ответить с цитированием

Реклама
Старый 26.04.2018, 17:42   #2
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 20,868
Репутация: 1819174
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: DDoS - непонятный формат IP-адреса

nginx или apache лог такой?
LEOnidUKG вне форума   Ответить с цитированием
Старый 26.04.2018, 18:02   #3
fliger
Аспирант
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 202
Репутация: 12963

ТопикСтартер Re: DDoS - непонятный формат IP-адреса

Это кусок записей из лога Apache (виртуальный хостинг). В нормальном виде записи выглядят так:

192.162.113.42 - - [26/Apr/2018:17:58:41 +0300] "GET /phobos/ HTTP/1.0" 403 24

На уровне PHP я эту хрень заблокировал:

if (substr($_SERVER['REMOTE_ADDR'], -14) == '192.162.113.42') {
header($_SERVER['SERVER_PROTOCOL'].' 404 Not Found', true, 404);
exit();
}

Но хотелось бы понять, что за формат IP-адреса (то, что выделено жирным шрифтом). Почему-то .htaccess на него ругается, если регуляркой через SetEnvIf Remote_Addr записывать (PHP всю строку IP-адреса, т.е. все, что в нее вставлено, читает нормально).
fliger вне форума   Ответить с цитированием
Старый 26.04.2018, 18:06   #4
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 20,868
Репутация: 1819174
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: DDoS - непонятный формат IP-адреса

а точно нет nginx перед этим?

Подмена IP я такого не слышал. apache какой версии?
LEOnidUKG вне форума   Ответить с цитированием
Старый 26.04.2018, 18:08   #5
fliger
Аспирант
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 202
Репутация: 12963

ТопикСтартер Re: DDoS - непонятный формат IP-адреса

Цитата:
Сообщение от LEOnidUKG Посмотреть сообщение
а точно нет nginx перед этим?

Подмена IP я такого не слышал. apache какой версии?
На хостинге перед Apache 2.0 стоит nginx.

В основном все строки в логе с привычной записью IP в начале строки:

192.162.113.42
Но попадаются строки с абракадаброй.
fliger вне форума   Ответить с цитированием
Старый 26.04.2018, 18:10   #6
юни
͏
 
Аватар для юни
 
Регистрация: 01.11.2005
Сообщений: 14,973
Репутация: 1682577

По умолчанию Re: DDoS - непонятный формат IP-адреса

Цитата:
Сообщение от fliger Посмотреть сообщение
Но попадаются строки с абракадаброй.
Похоже на какой-то баг с записью. Хостера не спрашивали, что это может быть?
__________________
Новинка - полный автомат для работы с криптой.
Всегда в наличие IPv4. Напишите, чтобы обсудить объёмы и скидки.
юни на форуме   Ответить с цитированием
Старый 26.04.2018, 18:11   #7
fliger
Аспирант
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 202
Репутация: 12963

ТопикСтартер

Цитата:
Сообщение от юни Посмотреть сообщение
Похоже на какой-то баг с записью. Хостера не спрашивали, что это может быть?
Нет, еще не спрашивал.
fliger вне форума   Ответить с цитированием
Старый 26.04.2018, 18:16   #8
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 20,868
Репутация: 1819174
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: DDoS - непонятный формат IP-адреса

Значит админ не верно настроил проксирование в плане определения IP, и в nginx отправляют мусор, а apache пишет его в лог.
LEOnidUKG вне форума   Ответить с цитированием
Сказали спасибо:
Старый 26.04.2018, 18:19   #9
fliger
Аспирант
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 202
Репутация: 12963

ТопикСтартер Re: DDoS - непонятный формат IP-адреса

Цитата:
Сообщение от LEOnidUKG Посмотреть сообщение
Значит админ не верно настроил проксирование в плане определения IP, и d nginx отправkяют мусор, а apache пишет его в лог.
Спасибо за подсказку - отправил ее в техподдержку.

---------- Добавлено 26.04.2018 в 18:37 ----------

Заблокировал через .htaccess все IP, запись которых нестандартна:

SetEnvIf Remote_Addr ^(?!(?:[0-9]{1,3}\.){3}[0-9]{1,3}$) bad_ip
fliger вне форума   Ответить с цитированием
Старый 26.04.2018, 18:51   #10
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 20,868
Репутация: 1819174
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: DDoS - непонятный формат IP-адреса

У них скорее всего апатчу отправляется:

HTTP_X_FORWARDED_FOR

Который можно вписать ЛЮБОЙ. Это очень распространённая проблема, когда настраивают по мануалам, и не понимают, как это работает.

Они отправляют:
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

И считывают апатчем X-Forwarded-For вместо X-Real-IP
Отсюда и проблемы.

Но опять же, эти проблемы будут только в логах т.к. апатч тоже не дурак и понимает, что ему дичь скармливают и в PHP будет нормальный IP отображаться. По крайне мене я протестировал на apache 2.4 с модулем real_ip стандартным, всё ок. Мусора нет.

Последний раз редактировалось LEOnidUKG; 26.04.2018 в 21:31..
LEOnidUKG вне форума   Ответить с цитированием
Сказали спасибо:
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 06:39. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны