Атака и 400 Bad Request
Дмитрий Леоненко
dmitry.leonenko на gmail.com
Чт Янв 12 10:59:46 UTC 2012
Приветствую!
Вчера ко мне пришло много-много траффика на 80 порт с бесполезными данными
в запросе, то есть просто мусор.
Траффика исходящего было дофига и как я понял весь он состоял из ответов
nginx об плохом запросе 400 Bad request.
Я настроил так
log_format fail2ban '$time_local $remote_addr == $request == $status ==
$http_referer == $http_user_agent';
в логи сыпит дофига запросов вида:
12/Jan/2012:14:57:47 +0400 222.253.150.xxx == - == 400 == - == -
12/Jan/2012:14:57:49 +0400 123.24.190.xxx == - == 400 == - == -
12/Jan/2012:14:57:50 +0400 141.250.83.xxx == - == 400 == - == -
12/Jan/2012:14:57:51 +0400 187.59.185.xxx == - == 400 == - == -
С помощью fail2ban добавлял в ipset на блокировку всех с такими запросами.
За часов 10 набежало в ipset:
> # ipset list fail2ban-badbot-ips | tail -n +7 | wc -l
> 6687
Меня терзают смутные сомнения, не блочу ли я легитимных пользователей по
какой-то причине?
P.S. проблема с кучей внезапно появившегося исходящего трафика решилась так.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20120112/5ddfa0bf/attachment.html>
Подробная информация о списке рассылки nginx-ru