V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Livid
V2EX  ›  信息安全

请教大家,这是正常访问,还是某种攻击手段?

  •  
  •   Livid · 2013-08-20 02:54:11 +08:00 · 3545 次点击
    这是一个创建于 4114 天前的主题,其中的信息可能已经有所发展或是发生改变。
    9 条回复    1970-01-01 08:00:00 +08:00
    nazor
        1
    nazor  
       2013-08-20 08:01:12 +08:00 via Android
    发送频率这么高的正常请求?
    BOYPT
        2
    BOYPT  
       2013-08-20 09:10:01 +08:00
    我的vps上也有,而且我的还是https站。统计了一下来源IP,几乎是来自全国各地。
    我怀疑是GFW在探测https的证书信息。
    halfbloodrock
        3
    halfbloodrock  
       2013-08-20 09:10:05 +08:00
    不像正常的。

    下面的方式试试看吧。

    remarks: send spam reports to [email protected]
    remarks: and abuse reports to [email protected]
    qiuai
        4
    qiuai  
       2013-08-20 09:46:01 +08:00
    不像正常的呢。不过具体是干嘛的。没什么想法。。
    myoula
        5
    myoula  
       2013-08-20 10:06:02 +08:00
    看起来不像 同一Ip 一秒钟内 访问次数这么频率这么高,而且数据包大小一样。
    这个具体要看访问日志
    Ip 访问时间 访问的Url UserAgent 如果有规律 除了蜘蛛外 基本上肯定是采集之类的
    楼主可以通过 nginx 的 limit_req http://wiki.nginx.org/HttpLimitReqModule 来限制
    比如同一Ip+UserAgent 对某类Url 一秒内的访问次数等
    myoula
        6
    myoula  
       2013-08-20 10:09:52 +08:00
    举个例子 这是我线上在跑的
    limit_req_zone $anti_post zone=anti_post:20m rate=1r/s;
    location =/post.php {

    if ($request_method = POST) { #是否为post
    set $isp P;
    }

    if ($http_referer !~* "xxx.com") { #不是来源网站
    set $isp "${isp}N";
    }

    if ($isp = PN) { #不是来源网站的post 则403
    return 403;
    }

    if ($remote_addr = "118.244.147.22") { #针对固定ip的禁止
    return 403;
    }

    limit_req zone=anti_post burst=1 nodelay;
    if ($http_cookie ~* "usercookie=([^;]+)(?:;|$)") { 一秒钟只允许post1-2次
    set $anti_post $1;
    }
    }
    dndx
        7
    dndx  
       2013-08-20 10:11:43 +08:00
    @BOYPT SSL 信息也不会在 80 端口上探测吧,V2EX 全站强制 SSL ,80 端口有如此大的不明流量显然不正常。

    @myoula 这个层面上的攻击应该用 IDS 或者 iptables 来解决,还没到 nginx 那一层。
    BOYPT
        8
    BOYPT  
       2013-08-20 11:34:41 +08:00
    @dndx 我说的是我的vps,在https端口。
    BOYPT
        9
    BOYPT  
       2013-08-20 11:37:37 +08:00
    @myoula 显然这是无效请求,连GET/POST头都没有,哪来什么ua,nginx一点信息都拿不到,什么limit更无从谈起了~

    nginx本来就是返回400错误。不会跑到后端去的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1090 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:36 · PVG 07:36 · LAX 15:36 · JFK 18:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.