Een van mijn servers gestart getting zwaar geladen een paar weken geleden voor een paar uur, dus ik heb een beetje studeren en schreef een script te gebruiken netstat om de IP-adressen aangesloten en de telling. Ik heb een nieuwe ketting in iptables en als een IP is het gebruik van meer dan 40 aansluitingen, het wordt toegevoegd aan die ketting, die vervolgens wordt gespoeld elk uur alleen om ervoor te zorgen dat er geen legitieme IP is geblokkeerd voor eeuwig. Als een IP-verbinding meer dan 100 keer, het wordt direct toegevoegd aan de INPUT keten en is dus blijvend tot handmatig verwijderd.

Ik ben vooral proberen te achterhalen wanneer deze tellingen zijn goede grenzen. Kan er legitieme redenen voor een IP te gebruiken meer dan 40 aansluitingen per keer? Ik heb getest gaan naar een webpagina met 200 thumbnail beelden, en zelfs dan mijn IP was slechts een paar keer genoemd.

Heb je geïsoleerd wat programma's werden benaderd door deze adressen? Afhankelijk van wat je script doet, kan niet worden een praktisch idee. Grote bedrijven hebben vaak gateways die zal het lijken alsof een persoon (een IP) de toegang tot honderden exemplaren van een pagina. Dus stel zeggen 200 mensen op Cisco bekijkt uw site. Terwijl u het zien als een adres, het is een feit, er zijn veel mensen het bekijken van de site.

Wat is het algemene doel van uw script. Gezien ik kan spoofberichten adressen, als uw firewall is verkeerd, je provider is niet te doen BCP filteren, als een aanval vector, Ik kan je server negeren alles via 0.0.0.0 spoofing.

Het is al verschillende bestanden en scripts, maar meestal alleen bestanden, die toegankelijk is op een hoog tellen van een IP-like that.

Hier is een voorbeeld uit de logbestanden voor een zaak:

Netstat bleek dat IP vele malen, dus was het niet hun computer downloaden van een video een beetje op een moment. Het leek meer alsof ze waren downloaden dezelfde video een groot aantal keer op keer. Er zijn zo'n 400 video's daar, dus het was niet 50 verschillende mensen met hetzelfde besturingssysteem en dezelfde gateway downloaden dezelfde video op hetzelfde moment.

Dat IP is uit Maleisië.
De host is: 33.105.50.60.klj03-home.tm.net.my en is vermoedelijk van MY (Maleisië)

De meeste van de hoge tellen onderzoektijdvakken zijn uit Maleisië, Taiwan, Polen, Japan en China.

Wanneer de server het eerst begon met een hoge belasting problemen, vond ik het grote aantal verbindingen naar een bestand en de naam van het bestand, dan minuten later hetzelfde IP zouden een groot aantal verbindingen naar een ander bestand, dan heb geblokkeerd het IP van dat site en minuten later hetzelfde bestand werd benaderd een groot aantal keer uit een ander IP. Ik schreef een klein script voor het blokkeren van IP-adressen uit die site automatisch, dan zou het IP-net blijven veranderen en laten zien als zijnde afkomstig uit verschillende landen. Het script zou alleen blokkeren de toegang tot een site die bedoeld met een 403 pagina per keer. Volgende wat ik wist, het volume was klimmen en waren ze om de 403 pagina 100 keer per seconde. Zeker keek naar me alsof iemand probeerde crasht de server, dus ik moest kijken naar de afscherming van de hele server.

Daar ben ik begonnen met draaien van mijn auto iptables script een week geleden, de server load heeft behoorlijk veel quit spiking.

De kans om veel mensen van het ene bedrijf op dezelfde router naar een site op hetzelfde moment is vrij slank, maar later kan ik mijn script te controleren of de logboekbestanden om te zien of de IP-adressen zijn allemaal toegang tot hetzelfde bestand en het gebruik van dezelfde browser die zou helpen voorkomen dat ze worden geblokkeerd.

Wilt u misschien overwegen of blokkeren of bandbreedte throttling.
Er zijn een aantal manieren om bandbreedte limieten, afhankelijk van uw configuratie.