Wie finde ich heraus, welche IP meine Website hämmert?

645
AMB

Ich habe eine Website, die in letzter Zeit so viel Datenverkehr hatte, dass meine Serverlast zum Himmel ging.

load average: 83.99, 72.89, 77.70

Meine Website wird auf dedizierten Servern mit 64 GB RAM und Intel i7 6700k CPU gehostet. und steht hinter cloudflare.

Ich verwende keine Analysen, um Besucher zu verfolgen.

In den letzten drei bis vier Tagen stieg der Traffic und ich hatte den Eindruck, dass es regelmäßig auf meiner Website zu Besuch kam, bis ich beim Surfen auf anderen Websites mithilfe der Google-Suche herausfand, dass eine andere Website als Online- / Reverse-Proxy fungierte und meine Website lädt da ihre eigene und seine Website viel mehr Verkehr hatten als meine, also habe ich darauf zugegriffen 

https://www.whatismyip.com/

Verwenden des Proxy dieser Site, z

www.example.com/proxy_url=https://www.whatismyip.com

um die IP-Adresse zu erhalten und anschließend seine IP-Adresse in Cloudflare zu sperren. Diese Methode ist nicht immer machbar, wenn sich jemand meiner Website nähert.

Wie kann ich herausfinden, ob eine IP-Adresse zu viele Anfragen an meine Site stellt?

3
Ich glaube nicht, dass Sie verhindern können, dass Personen auf Ihre Website zugreifen. Abgesehen davon, dass Sie Ihr Webserverprotokoll durchsehen, und verbieten Sie IP-Adressen, die erheblich verdächtig sind (aufgrund der extremen Anzahl an Anfragen für Seiten von einer einzigen IP-Adresse) . Siehe auch: https://serverfault.com/questions/419784/wie- zu-automatisch-und-zeitlich-block-anip-address-making-too-vany-hits-on Darius vor 5 Jahren 1
Warten Sie, sendet Cloudflare Ihnen nicht bereits die IP-Adressen aller Besucher über X-Forwarded-For? grawity vor 5 Jahren 2
@grawity tut es, aber bedeutet das, ich muss jede ip protokollieren und ihre anforderungen innerhalb der letzten Minuten zählen und dann manuell verbieten? oder gibt es etwas bereites? Vielen Dank AMB vor 5 Jahren 0
Sie verbieten es automatisch mit [Fail2ban] (https://www.fail2ban.org). Josem vor 5 Jahren 1
Das Sperren legitimer Benutzer, die unwissentlich über einen Proxy auf Ihre Website gelangen, ist ein sicherer Weg, um Traffic zu verlieren oder einen schlechten Ruf zu erlangen. harrymc vor 5 Jahren 0
@harrymc Es ist nicht nur ein Proxy, sein Reverse Proxy, also kommen Surfer nicht auf meine Site, sie landen auf einer anderen Site, die umgekehrt auf meine Site verweist, was bedeutet, dass sie meine Ressourcen auffressen und mir keine Anzeigeneinnahmen geben., Danke AMB vor 5 Jahren 0

2 Antworten auf die Frage

4
davidgo

Es gibt keine einfache Lösung für Ihr Problem, da es nicht genau definiert ist (insbesondere hinsichtlich der Erreichbarkeit Ihres Netzwerks). Es gibt jedoch eine Reihe von Tools in Ihrer Toolbox, darunter:

  1. Cloudflare übergibt die Header für CF-Connecting-IP und X-Forwarded-For . Sie sollten diese Informationen neben der Anforderung protokollieren. Wie Sie dies tun, hängt von Ihrem Webserver ab. Hier ist ein Link, wie man es in Apache macht.

  2. Wenn Sie über die oben genannten Informationen verfügen, können Sie fail2ban so konfigurieren, dass die Anzahl der Treffer für diese Protokolldatei zu einem bestimmten Zeitpunkt und eine schwarze Liste basierend auf einer großen Anzahl von Treffern gezählt wird. Nicht unterschätzen, da jedes Element in dieser Protokolldatei aufgezeichnet wird.

  3. Bei den meisten guten Webservern können Sie den Verkehr basierend auf verschiedenen Variablen handhaben. Die USER-AGENT-Zeichenfolge ist eine der wichtigsten Informationen. Wenn es sich hierbei um einen Standardproxy handelt, wird die Benutzer-Agent-Zeichenfolge möglicherweise auf eine mögliche Weise festgelegt Heb es auf.

  4. Verwenden Sie IPTables - Sie können die maximale Anzahl von Verbindungen pro IP-Adresse mithilfe des Connlimit-Moduls begrenzen. Suchen Sie hier nach einer Implementierung. Leider funktioniert dies nicht sehr gut, wenn Sie Cloudflare verwenden, da alle Ihre Verbindungen von derselben IP-Adresse stammen.

4
harrymc

Das Sperren legitimer Benutzer, die unwissentlich über einen Proxy auf Ihre Website gelangen, ist ein sicherer Weg, um Traffic zu verlieren oder einen schlechten Ruf zu erlangen. Sie sollten den Proxy besser über seinen Provider angreifen.

In einer Antwort zu StackOverflow wird ausführlich eine Methode erläutert, mit der in nginx eine Kombination von Headern für die Bearbeitung von Anforderungen verwendet wird, die nur über den richtigen Hostnamen an Sie adressiert sind. Sie können diese Lösung anpassen, um den Namen des in der Clientanforderung verwendeten Proxy zu ermitteln, und diesen Namen wie nachstehend beschrieben verwenden.

Diese andere Antwort gibt einen guten Rat :

Hier sind einige Strategien, die Sie in Betracht ziehen sollten:

1.
Ermitteln Sie anhand Ihrer Serverprotokolle, auf welche Weise der Proxy Ihre Website herunterlädt und die Antworten für ihn selektiv ändert, z. B., wenn er einen bestimmten Provider verwendet, Antworten für den Adressraum blockieren oder ändern

2. Es kann völlig ausreichend sein, den Anbieter des Vertreters lediglich informell zu benachrichtigen. Stellen Sie
sicher, dass Sie die Missbrauchsabteilung direkt kontaktieren, nicht die Vertriebsmitarbeiter. Wenn die Server-IP-Adresse von einem anderen Unternehmen als dem Domain-Registrar registriert wird, befolgen Sie den Weg des geringsten Widerstands - fragen Sie zunächst den Provider mit Sitz in einem Land, das näher bei Ihrem liegt.

3. Abhängig von der TLD wird es von trivial bis unmöglich sein, den Betreiber der Website zu ermitteln und / oder eine gerichtliche Anordnung zu erhalten, durch die der DNS-Anbieter gezwungen wird, sie einzustellen

4. Melden Sie sie bei Google Safe Browsing.
Verwenden Sie die Option Report Phishing Page. Dies wird - wenn unsere Google-Overlords dies entscheiden - eine fette Warnung für die Benutzer des Proxy erzeugen UND die Website aus den Suchergebnissen entfernen. Die meisten Benutzer der meisten Browser verwenden die sicheren Sperrlisten von Google. Dies wirkt sich nicht auf alle Benutzer aus, sondern in der Nähe.

Verwandte Probleme