请教大家，这是正常访问，还是某种攻击手段？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 4112 天前的主题，其中的信息可能已经有所发展或是发生改变。

请教

访问

某种

9 条回复 • 1970-01-01 08:00:00 +08:00

nazor

2013-08-20 08:01:12 +08:00 via Android

发送频率这么高的正常请求？

BOYPT

2013-08-20 09:10:01 +08:00

我的vps上也有，而且我的还是https站。统计了一下来源IP，几乎是来自全国各地。
我怀疑是GFW在探测https的证书信息。

halfbloodrock

2013-08-20 09:10:05 +08:00

不像正常的。

下面的方式试试看吧。

remarks: send spam reports to [email protected]
remarks: and abuse reports to [email protected]

qiuai

2013-08-20 09:46:01 +08:00

不像正常的呢。不过具体是干嘛的。没什么想法。。

myoula

2013-08-20 10:06:02 +08:00

看起来不像同一Ip 一秒钟内访问次数这么频率这么高，而且数据包大小一样。
这个具体要看访问日志
Ip 访问时间访问的Url UserAgent 如果有规律除了蜘蛛外基本上肯定是采集之类的
楼主可以通过 nginx 的 limit_req http://wiki.nginx.org/HttpLimitReqModule 来限制
比如同一Ip+UserAgent 对某类Url 一秒内的访问次数等

myoula

2013-08-20 10:09:52 +08:00

举个例子这是我线上在跑的
limit_req_zone $anti_post zone=anti_post:20m rate=1r/s;
location =/post.php {

if ($request_method = POST) { #是否为post
set $isp P;
}

if ($http_referer !~* "xxx.com") { #不是来源网站
set $isp "${isp}N";
}

if ($isp = PN) { #不是来源网站的post 则403
return 403;
}

if ($remote_addr = "118.244.147.22") { #针对固定ip的禁止
return 403;
}

limit_req zone=anti_post burst=1 nodelay;
if ($http_cookie ~* "usercookie=([^;]+)(?:;|$)") { 一秒钟只允许post1-2次
set $anti_post $1;
}
}

dndx

2013-08-20 10:11:43 +08:00

@BOYPT SSL 信息也不会在 80 端口上探测吧，V2EX 全站强制 SSL ，80 端口有如此大的不明流量显然不正常。

@myoula 这个层面上的攻击应该用 IDS 或者 iptables 来解决，还没到 nginx 那一层。

BOYPT

2013-08-20 11:34:41 +08:00

@dndx 我说的是我的vps，在https端口。

BOYPT

2013-08-20 11:37:37 +08:00

@myoula 显然这是无效请求，连GET/POST头都没有，哪来什么ua，nginx一点信息都拿不到，什么limit更无从谈起了～

nginx本来就是返回400错误。不会跑到后端去的。