Uno dei miei server iniziato ottenere pesantemente caricato un paio di settimane fa per un paio d'ore, così ho fatto qualche studio e ha scritto uno script per usare netstat per ottenere gli indirizzi IP collegati e il conte. Ho messo una nuova catena di iptables e se è un IP che utilizzano più di 40 collegamenti, viene aggiunto a quella catena che viene poi eliminata ogni ora solo per assicurarsi che non è legittimo IP bloccati per sempre. Se un IP è collegato più di 100 volte, viene aggiunto direttamente alla catena di INPUT e quindi è permanente fino a quando rimossi manualmente.

Sono soprattutto cercando di capire se questi sono buoni conta limiti. Ci può essere per motivi legittimi da un indirizzo IP che utilizzano più di 40 connessioni alla volta? Ho provato ad andare a una pagina Web con 200 immagini in miniatura, e anche allora era il mio IP elencati solo un paio di volte.

Avete isolato quali programmi sono stati letta da quegli indirizzi? A seconda di ciò che esattamente lo script sta facendo, essa non può essere una pratica idea. Le grandi aziende hanno spesso gateway che farà apparire come se una persona (un IP) è l'accesso a centinaia di casi di una pagina. Quindi immagino a dire 200 persone che visualizzano il tuo sito di Cisco. Mentre si vede come un indirizzo, il fatto è, ci sono molte persone che visualizzano il sito.

Qual è lo scopo del vostro script. Considerando che posso spoofing indirizzi, se il firewall è male, il tuo provider non sta facendo BCP filtraggio, come un vettore di attacco, cosa che posso fare per il vostro server ignorare tutto tramite 0.0.0.0 spoofing.

E 'stato diversi file e script, ma soprattutto solo file, l'accesso a un elevato numero di IP, come uno che.

Ecco un esempio di file di log per un caso:

IP Netstat è emerso che molte volte, così non è stato proprio computer scaricando un video di un po 'alla volta. Sembrava più come erano scaricare il video stesso un elevato numero di volte in una sola volta. Ci sono circa 400 video, quindi non è stato 50 persone diverse con lo stesso sistema operativo e lo stesso gateway di scaricare lo stesso video nello stesso momento.

Tale periodo è da Malesia.
L'accoglienza è il seguente: 33.105.50.60.klj03-home.tm.net.my ed è probabilmente da MY (MALAYSIA)

La maggior parte delle alte contare IP sono state dalla Malaysia, Taiwan, Polonia, Giappone e Cina.

Quando il server prima aver iniziato ad alto carico di problemi, ho trovato l'elevato numero di collegamenti a un file e rinominato il file, quindi minuto più tardi lo stesso indirizzo IP che hanno un alto numero di connessioni a un file diverso, quindi ho bloccato l'IP da quello sito e di minuti più tardi lo stesso file è stato letto un numero elevato di volte, da un altro IP. Ho scritto un piccolo script per bloccare l'IP automaticamente dal sito, quindi il periodo di cambiamento e di mantenere solo mostrare come provenienti da diversi paesi. Lo script semplicemente bloccare l'accesso a un sito che intende dare una pagina ogni volta 403. La prossima cosa che ho conosciuto, il volume è stata scalata e sono stati solo per il 403 pagina 100 volte al secondo. Sicuramente mi guardò come qualcuno stava cercando di crash del server, quindi ho dovuto guardare in blocco di tutto il server.

Da quando ho iniziato la mia esecuzione automatica di script iptables una settimana fa, il carico del server è molto uscire di addizione.

Le probabilita 'di molte persone provenienti da una società sullo stesso router andando a un sito allo stesso tempo è molto sottile, ma in seguito ho possibile regolare il mio script per controllare i file di log per vedere se sono tutti gli IP che accedono allo stesso file e utilizzando lo stesso browser, che aiuterà a prevenire che vengano bloccati.

Si può prendere in considerazione sia il blocco o di larghezza di banda.
Ci sono una serie di modi per impostare i limiti di larghezza di banda a seconda della configurazione.