En av mine servere begynte å bli tungt lastet et par uker siden for et par timer, så jeg gjorde noen studerer og skrev et skript for å bruke netstat å få IP-adresser koblet og teller. Jeg satte en ny kjede i iptables og hvis en IP bruker mer enn 40 tilkoblinger, det blir lagt til at kjeden som deretter spyles hver time bare for å sikre at ingen legitim IP blokkeres evig. Hvis en IP-er koblet til mer enn 100 ganger, det blir lagt direkte til INPUT kjede og derfor er permanent inntil manuelt fjernet.

Jeg er hovedsakelig prøver å finne ut om de teller er gode grenser. Kan det være legitime grunner for en IP til å bruke mer enn 40 tilkoblinger samtidig? Jeg testet å gå til en nettside med 200 miniatyrbilder, og selv da min IP var bare nevnt noen ganger.

Har du isolert hvilke programmer ble åpnet av disse adressene? Avhengig av hva skriptet gjør, kan det ikke være et praktisk idé. Store selskaper har ofte gatewayer som gjør det synes som om en person (en IP) har tilgang til flere hundre tilfeller av en side. Så tenk si 200 personer på Cisco viser webområdet ditt. Mens du ser på det som en adresse, er et faktum, er det mange som viser området.

Hva er den generelle formål skriptet. Vurderer jeg kan forfalske adresser, hvis brannmuren er feilkonfigurert, leverandøren ikke gjør BCP filtrering, som Angrepsvektoren, jeg kan lage din server ignorere alt via 0.0.0.0 etterligning.

Det har vært forskjellige filer og skript, men for det meste bare filer, får tilgang på et høyt tall for en IP sånn.

Her er et eksempel fra loggfiler for ett tilfelle:

Netstat viste at IP mange ganger, så det var ikke datamaskinen laster ned en video litt om gangen. Det så mer ut som de var å laste ned den samme videoen et høyt antall ganger på en gang. Det er rundt 400 videoer der, så det var ikke 50 forskjellige personer med samme OS og samme gateway nedlasting samme video samtidig.

At IP er fra Malaysia.
Verten er: 33.105.50.60.klj03-home.tm.net.my og er trolig fra MIN (Malaysia)

Mesteparten av den høye telle IPer er fra Malaysia, Taiwan, Polen, Japan og Kina.

Når serveren første gang å ha stor belastning problemer, jeg fant det høye antallet tilkoblinger til en fil og omdøpt filen, deretter minutter senere samme IP ville ha et høyt antall tilkoblinger til en annen fil, så jeg blokkert IP fra det området og minutter senere den samme filen ble åpnet et høyt antall ganger fra en annen IP. Jeg skrev et lite script for å blokkere IP-adresser fra dette området automatisk, blir IP ville bare skiftende og vis som fra forskjellige land. Skriptet bare blokkere tilgangen til et nettsted som betydde noe som gir en 403 siden hver gang. Neste ting jeg visste, volumet var klatring og de var bare få 403 side 100 ganger i sekundet. Definitivt kikket på meg som noen prøvde å krasje, så jeg måtte se på blokkerer dem fra hele serveren.

Siden jeg startet min auto iptables script en uke siden, serveren Beregnigner har ganske mye avslutte skyter.

Oddsen for mange mennesker fra ett firma på samme router skal et område på samme tid er ganske smalt, men senere kan jeg justere mine script å se loggfiler for å se om IP-adresser er alle tilgang til samme filen og bruker samme nettleser som vil bidra til å forhindre dem fra å bli blokkert.

Du bør vurdere å enten blokkerer eller båndbredde aldri blitt.
Det er en rekke måter å angi båndbreddegrense avhengig av konfigurasjon.