En af mine servere begyndt at få tungt lastet et par uger siden for et par timer, så jeg har nogle studier og skrev et script til at bruge netstat at få IP-adresserne er tilsluttet og regne. Jeg sætter en ny kæde i iptables og hvis en IP bruger mere end 40 tilslutninger, det bliver føjet til, at kæden som derefter skylles hver time blot for at sikre ingen legitim IP er blokeret evigt. Hvis en IP er tilsluttet mere end 100 gange, det bliver tilsat direkte til INPUT kæden, og derfor er permanent indtil manuelt fjernet.

Jeg er primært at forsøge at regne ud, hvis de tæller er gode grænser. Kan der være legitime grunde til en ejendom, der anvender mere end 40 tilslutninger på et tidspunkt? Jeg testede at gå til en webside med 200 thumbnail-billeder, og selv da min IP blev kun nævnt et par gange.

Har du isoleret, hvilke programmer der blev adgang til disse adresser? Afhængigt af hvad dit script gør, kan det ikke være en praktisk idé. Store virksomheder har ofte gateways som vil gøre det synes, som om en person (en IP) er at få adgang til hundredvis af tilfælde af en side. Så forestille sige 200 mennesker på Cisco ser dit websted. Mens du ser det som en adresse, er det en kendsgerning, er der mange mennesker ser på webstedet.

Hvad er det overordnede formål med dit script. Overvejer jeg kan spoof-adresser, hvis din firewall er fejlkonfigureret, din udbyder gør ikke BCP filtrering, som et angreb, jeg kan gøre din server ignorere alt via 0.0.0.0 spoofing.

Det har været forskellige filer og scripts, men det meste kun filer, der er adgang til dem på et højt tælle af en IP sådan.

Her er et eksempel fra logfiler for en sag:

Netstat viste, at IP mange gange, så det var ikke deres computer downloade en video lidt ad gangen. Det så mere som de var downloading samme video et stort antal gange på en gang. Der er omkring 400 videoer dér, så det var ikke 50 forskellige mennesker med det samme operativsystem og samme gateway henter den samme video på samme tid.

At IP er fra Malaysia.
Værten er: 33.105.50.60.klj03-home.tm.net.my og er sandsynligvis fra MY (Malaysia)

De fleste af de høje tælle undersøgelsesperioderne har været fra Malaysia, Taiwan, Polen, Japan og Kina.

Når serveren startede med høj belastning problemer, jeg har fundet det høje antal af forbindelser til en fil og omdøbt filen, så minutter senere samme IP ville have et stort antal forbindelser til en anden fil, så jeg blokeret IP fra at websted, og minutter senere samme fil blev adgang til et stort antal gange fra en anden IP. Jeg skrev et lille script til at blokere for IP-adresser fra dette websted automatisk, så undersøgelsesperioden ville bare holde skifte og vise, om den kommer fra forskellige lande. Scriptet vil bare blokere adgang til en hjemmeside, som betød, at give en 403 side hver gang. Næste ting jeg vidste, lydstyrken var klatring og de var bare at få 403 side 100 gange en anden. Definitely kiggede på mig som en person forsøgte at crash serveren, så jeg var nødt til at se på at blokere dem fra hele serveren.

Da jeg begyndte at køre mit auto iptables script en uge siden, den server belastning har temmelig meget quit spiking.

Oddsene for mange mennesker fra en virksomhed på samme router går til et websted på samme tid er helt slank, men senere kan jeg tilpasse min script til at tjekke log-filerne for at se, om undersøgelsesperioderne er alle adgang til den samme fil og bruge den samme browser, som ville hjælpe med at forhindre dem i at blive blokeret.

Du kan overveje at enten blokere eller båndbredde standset.
Der er en række måder at indstille båndbredde begrænsninger afhængigt af din konfiguration.