Re: Атака и 400 Bad Request

Дмитрий Леоненко dmitry.leonenko на gmail.com
Чт Янв 12 17:47:58 UTC 2012


Нет, тут CentOS 6.2.
Да и тревога оказалась ложной. Но много чего нового для себя узнал. В
частности о 400 ошибках, что это в логе сейчас нормально, так работают
современные браузеры....

2012/1/12 Илья Шипицин <chipitsine at gmail.com>

> у вас не FreeBSD случайно ? http accept filter был бы в самый раз
> никто под линукс подобные штуки не видел?
>
> 12 января 2012 г. 16:59 пользователь Дмитрий Леоненко <
> dmitry.leonenko at gmail.com> написал:
>
>> Приветствую!
>>
>> Вчера ко мне пришло много-много траффика на 80 порт с бесполезными
>> данными в запросе, то есть просто мусор.
>> Траффика исходящего было дофига и как я понял весь он состоял из ответов
>> nginx об плохом запросе 400 Bad request.
>> Я настроил так
>>     log_format fail2ban '$time_local $remote_addr == $request == $status
>> == $http_referer == $http_user_agent';
>>
>> в логи сыпит дофига запросов вида:
>>
>> 12/Jan/2012:14:57:47 +0400 222.253.150.xxx == - == 400 == - == -
>> 12/Jan/2012:14:57:49 +0400 123.24.190.xxx == - == 400 == - == -
>> 12/Jan/2012:14:57:50 +0400 141.250.83.xxx == - == 400 == - == -
>> 12/Jan/2012:14:57:51 +0400 187.59.185.xxx == - == 400 == - == -
>>
>>
>> С помощью fail2ban добавлял в ipset на блокировку всех с такими
>> запросами. За часов 10 набежало в ipset:
>>
>>> # ipset list fail2ban-badbot-ips | tail -n +7 | wc -l
>>> 6687
>>
>>
>> Меня терзают смутные сомнения, не блочу ли я легитимных пользователей по
>> какой-то причине?
>>
>> P.S. проблема с кучей внезапно появившегося исходящего трафика решилась
>> так.
>>
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru at nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>
>
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20120112/2fe9396c/attachment.html>


Подробная информация о списке рассылки nginx-ru