Ну можно в принципе банить если за n минут пришло >m плохих запросов.<div>Вопрос собственно состоял в том, почему и могут ли такие запросы приходить от легитимных клиентов?<br><br><div class="gmail_quote">2012/1/12 Volodymyr Kostyrko <span dir="ltr"><<a href="mailto:c.kworr@gmail.com">c.kworr@gmail.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>
<br>
Дмитрий Леоненко wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Приветствую!<br>
<br>
Вчера ко мне пришло много-много траффика на 80 порт с бесполезными<br>
данными в запросе, то есть просто мусор.<br>
Траффика исходящего было дофига и как я понял весь он состоял из ответов<br>
nginx об плохом запросе 400 Bad request.<br>
Я настроил так<br>
log_format fail2ban '$time_local $remote_addr == $request ==<br>
$status == $http_referer == $http_user_agent';<br>
<br>
в логи сыпит дофига запросов вида:<br>
<br>
12/Jan/2012:14:57:47 +0400 222.253.150.xxx == - == 400 == - == -<br>
12/Jan/2012:14:57:49 +0400 123.24.190.xxx == - == 400 == - == -<br>
12/Jan/2012:14:57:50 +0400 141.250.83.xxx == - == 400 == - == -<br>
12/Jan/2012:14:57:51 +0400 187.59.185.xxx == - == 400 == - == -<br>
<br>
<br>
С помощью fail2ban добавлял в ipset на блокировку всех с такими<br>
запросами. За часов 10 набежало в ipset:<br>
<br>
# ipset list fail2ban-badbot-ips | tail -n +7 | wc -l<br>
6687<br>
<br>
<br>
Меня терзают смутные сомнения, не блочу ли я легитимных пользователей по<br>
какой-то причине?<br>
<br>
P.S. проблема с кучей внезапно появившегося исходящего трафика решилась так.<br>
</blockquote>
<br></div></div>
Знакомо, хотя товарищи прогрессируют... Я обычно считал для каждого адреса параллельно количество нормальных запросов и банил только когда плохих запросов становилось больше random(10, 100) и больше чем хороших. При бане напрямую всех иногда в список паразитов попадали боты.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
Sphinx of black quartz judge my vow.<br>
<br>
</font></span></blockquote></div><br></div>