Re: Атака и 400 Bad Request

Igor Shergin igor на shergin.ru
Чт Янв 12 18:02:18 UTC 2012


> Меня терзают смутные сомнения, не блочу ли я легитимных пользователей по какой-то причине?


Недавно запустил сильно посещаемый сайт, в логе дефолтного виртуального хоста вижу нечто похожее:

187.74.215.245 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.74.215.245 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.74.215.245 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.57.22.175 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.59.230.90 - - [12/Jan/2012:17:43:18 +0000] "-" 400 0 "-" "-" "-"
201.80.170.150 - - [12/Jan/2012:17:43:20 +0000] "-" 400 0 "-" "-" "-"
189.11.191.59 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
189.11.191.59 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
187.67.213.161 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
187.67.213.161 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
209.10.200.2 - - [12/Jan/2012:17:43:23 +0000] "-" 400 0 "-" "-" "-"
189.27.34.174 - - [12/Jan/2012:17:43:23 +0000] "-" 400 0 "-" "-" "-"

У меня несколько зон выдачи по миру с гео-балансером, поэтому я сразу заметил, что 400-е ошибки приходят от хостов из соответствующих зон. Например, это цитата с сервера, на котором доминирует бразильский трафик - все хосты бразильские. На следующем шаге я нашёл эти хосты в логах виртуального сайта, и они произвели впечатление легитимных пользователей. У всех юзер-агент вида

Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.33 Safari/535.11

Я выпал из темы хостинга на несколько лет, поэтому не знаю, что это, Mozilla, Chrome или Safari, но AppleWebKit определённо намекает на Mac. :-)

Мне кажется, это категорически нельзя банить, если, конечно, не ставить целью выпилить с ресурса всех мако****.

--
Igor Shergin



Подробная информация о списке рассылки nginx-ru