Re: apache: δεν είναι DOS attack αλλά τι είναι?

ndemou at gmail.com ndemou at gmail.com
Wed Jun 13 11:30:22 EEST 2007 

το πρόβλημα δεν το έλυσα εγώ αλλά ΛΥΘΗΚΕ μόνο του πριν καν προλάβω να
δοκιμάσω να μπλοκάρω τα requests! Σήμερα το πρωί που θα έκανα τις
δοκιμές μου επικρατεί νηνεμία.

από ότι φαίνεται πάντως αν/όταν το κακό ξαναχτυπήσει δεν έχω άλλη λύση
από το να πάω σε ισχυρότερο server ή να υποστώ τις συνέπειες ή να
κάθομαι πάνω από τα logs σαν τσοπανόσκυλο και να ρυθμίζω ανα πάσα
στιγμή τους κανόνες που δηλώνουν ποιος θα κοπεί. Αυτό το λέω διότι ο
referer τελικά δεν έμενε σταθερός για πάντα αλλά άλλαζε κάθε τόσο.
Διάβασα και ένα σωρό άρθρα μετά τις εξηγήσεις σας και δεν βρήκα
πουθενά την "silver bullet" του προβλήμματος.

ακολουθούν μερικά στατιστικά μπας και φανούν χρήσιμα σε κάποιον άλλο:
μέσος όρος γραμμών (ήτοι αναφορές λαθών) στο error.log του apache2 ανά ώρα:

πρίν το "κακό":
    100-200 το βράδυ πέφταν στα 10-50 και κάποιες ώρες με trafic το πολύ 500
κατά την διάρκεια του "κακού":
    10.000-70.000 (δηλαδή μέχρι και ~20hits/sec!)

ακολουθεί ανάλυση που περιλαμβάνει λίγες ώρες πριν και λίγες μετά το
κακό (  το output της εντολής  grep Jun error.log | sed -e "s/^.*Jun
//" -e "s/2007.*$//" -e "s/\:.*$//" | uniq -c  )

errors : DayOfMonth : Hour
----------------------------------------
    269 12 07
    116 12 08
    234 12 09
    247 12 10
    238 12 11
    533 12 12
     80 12 13
  19767 12 14
  48031 12 15
  32440 12 16
   8412 12 17
  66354 12 18
  69108 12 19
  22605 12 20
  26408 12 21
  22893 12 22
  72757 12 23
  11643 13 00
  31716 13 00
  13352 13 01
   6000 13 01
  13314 13 02
   3024 13 03
   2033 13 04
    712 13 05
    622 13 06
    121 13 07
    120 13 08
    129 13 09
     40 13 10

ορίστε και οι διάφοροι top referers οι οποίοι στην ουσία είναι οι
spamers μου (Qπαραποιημένοι κατά την σοφή παρατήρηση μέλους της
λίστας) όπως προκύψαν απο την εντολή grep "referer:" error.log | sed
-e "s/^.*referer: http:\/\///" -e "s/\/.*$//" | sort | uniq -c | sort
-nr | head
 187867 www.Qinstituteok.com
 159931 www.Qcenterrr.com
  97143 www.Qguidetou.com
   6390 www.Qguideok.com
    445 www.Qbankjp.com
    435 www.Qworddo.com
    407 www.Qoninstitute.com
    308 www.Qthe-spoiler.com
    254 www.Qhomekap.com

More information about the Linux-greek-users mailing list