Как избавиться от "школьного ддос"?

SergejF · 21.08.2013, 21:16

Какой-то довбень вот уже шестой день несколько часов в сутки загружает одну страницу моего сайта с периодом в 10 секунд:

95.133.23.136 - - [21/Aug/2013:13:01:10 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16"
95.133.23.136 - - [21/Aug/2013:13:01:20 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16"
95.133.23.136 - - [21/Aug/2013:13:01:30 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16"
95.133.23.136 - - [21/Aug/2013:13:01:40 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16"
95.133.23.136 - - [21/Aug/2013:13:01:50 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16"

Зачем - непонятно, сайт от этого не падает, разве что у меня в статистике левые хиты появляются. Ip у него каждый день разные, но принадлежат украинскому Укртелекому, из сегмента 95.132 - 95.133. Как от этой моськи избавиться? Запретить весь сегмент ip не хочется Можно ли в .htaccess ограничить отдачу одному ip сотню страниц в сутки?

qkowlew · 21.08.2013, 22:08

В апач есть модуль, помнится я себе его ставил. Давно. Ещё в 1.3.* апаче. Ищется по ключевому слову bandwidth обычно. Если шаред хостинг - спроси админов. Если они добрые и в настроении, могут даже поставить соответствующий.

SergejF · 22.08.2013, 01:26

mod_bandwidth? Он скорость ограничивает. А мне бы... объем.

googlebot · 22.08.2013, 08:42

mod_evasive

Danst · 22.08.2013, 19:51

Функция на пхп - пару десятков строчек, с белым, черным и лимитирующим списками )) если нужно - дайте знать )

SergejF · 22.08.2013, 20:13

Цитата:

Сообщение от Danst

если нужно - дайте знать

Чтобы Вас зазря де беспокоить, поясните пожалуйста, Что значит здесь "функция"? Куда мне нужно будет её вставить?

Danst · 22.08.2013, 21:07

Цитата:

Сообщение от SergejF

Чтобы Вас зазря де беспокоить, поясните пожалуйста, Что значит здесь "функция"? Куда мне нужно будет её вставить?

Для одного своего проекта писал функцию на php. Вставляется она в файл php, который Вам надо контролировать. У меня обычно сделан отдельный файл header.php, в котором идут все заголовки страницы, ну и подобные функции, а его уже, в свою очередь, используют все остальные страницы сайта.

Что делает функция: протоколирует, разрешает или запрещает (на время или совсем) доступ по IP (или по маске IP) в зависимости от того, сколько раз с него поступил запрос за определенное время. В базе данных использует 3 таблицы:
'ip' - сюда функция записывает все IP, которые ломились на определенную страницу;
'ip_black_list' - черный список IP адресов;
'ip_white_list' - белый список IP адресов (у меня в нем всякие яндекс-гугло-боты, ну и собственные IP).

В качестве параметров функции дается:
1. название страницы, например, index.php;
2. сколько раз с одного IP можно к ней обратиться и за какое время, например 20 раз за 30 минут;
по достижении 20 раз раньше, чем за полчаса, оставшееся время у меня выводится сообщение "Извините, с Вашего IP поступает слишком много запросов. Пожалуйста, попробуйте зайти через некоторое время.". Ну или вариации на тему. А функция возвращает либо TRUE (доступ для этого IP В ДАННЫЙ МОМЕНТ разрешен), либо FALSE (запрещен).

В таблицу белого списка также протоколируется кол-во запросов с IP, которые в ней содержатся, у меня гугл-боты на одном из сайтов за сегодня больше 50 000 страниц позырили - вот это я понимаю, атака от гугла )))

MonAmur · 22.08.2013, 21:09

а чо бан по айпи в хтакцесс от школоло не помогает?

ну сутки хоть пусть гавно попинает

ubuntu · 22.08.2013, 21:20

Цитата:

Сообщение от MonAmur

а чо бан по айпи в хтакцесс от школоло не помогает?

ну сутки хоть пусть гавно попинает

Бан по айпи давно не помогает, все чаще оно - динамическое.
В каждом случае, по своему решать проблему приходится.
Сначала надо понять, на что атака (список адресов).

Добавлено через 3 минуты
Если за этим адресом:

Цитата:

95.133.23.136 - - [21/Aug/2013:13:01:50 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16"

ни чего не происходит, волноваться не о чем.

Danst · 22.08.2013, 21:25

Цитата:

Сообщение от MonAmur

а чо бан по айпи в хтакцесс от школоло не помогает?

Задача ведь не забанить, а ограничить объем запросов с определенного(ых) адреса(ов).

На школоло можно ааще забить по сути, только ведь оно может контент парсить) Хотя, от парсеров я чутка по-другому защитился )

21.08.2013, 21:16	#1
SergejF Эксперт Регистрация: 17.02.2008 Адрес: Донецк, ДНР Сообщений: 8,880 Вес репутации: 503	Как избавиться от "школьного ддос"? Какой-то довбень вот уже шестой день несколько часов в сутки загружает одну страницу моего сайта с периодом в 10 секунд: 95.133.23.136 - - [21/Aug/2013:13:01:10 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16" 95.133.23.136 - - [21/Aug/2013:13:01:20 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16" 95.133.23.136 - - [21/Aug/2013:13:01:30 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16" 95.133.23.136 - - [21/Aug/2013:13:01:40 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16" 95.133.23.136 - - [21/Aug/2013:13:01:50 +0200] "GET /razv.htm HTTP/1.0" 200 8646 "-" "Opera/9.80 (Windows NT 6.1) Presto/2.12.388 Version/12.16" Зачем - непонятно, сайт от этого не падает, разве что у меня в статистике левые хиты появляются. Ip у него каждый день разные, но принадлежат украинскому Укртелекому, из сегмента 95.132 - 95.133. Как от этой моськи избавиться? Запретить весь сегмент ip не хочется Можно ли в .htaccess ограничить отдачу одному ip сотню страниц в сутки?

22.08.2013, 08:42	#4
googlebot Эксперт Регистрация: 06.04.2009 Сообщений: 1,076 Вес репутации: 226	mod_evasive __________________ DropBox - secure online backup sync service. На халяву 2-16 Гб (при реге по рефке 500 Мб бонус обоим)

22.08.2013, 19:51	#5
Danst Специалист Регистрация: 10.12.2012 Сообщений: 190 Вес репутации: 147	Функция на пхп - пару десятков строчек, с белым, черным и лимитирующим списками )) если нужно - дайте знать ) __________________ Отслеживание почтовых отправлений — без капчи, без регистрации, с автоматическими уведомлениями на почту и по sms.

22.08.2013, 21:09	#8
MonAmur Эксперт Регистрация: 03.07.2007 Адрес: Chinatown Сообщений: 7,265 Вес репутации: 609	а чо бан по айпи в хтакцесс от школоло не помогает? ну сутки хоть пусть гавно попинает __________________ отличная тизерка тексты по 10 руб/кзнак автоматизируй все, не мучайся!

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
А нет ли в сапе кнопки "избавиться от всей этой фигни"?	supermosk	Курилка	6	11.02.2012 09:26
Пропали ссылки, затем "Не прошёл модерацию" по причине "клоакинг яндекса..."	Saber	Вопросы по работе системы	20	07.12.2011 16:22
Как избавиться от "GET /?p=389 HTTP/1.0" ?	Красавчег	Курилка	6	28.01.2010 00:36

21.08.2013, 22:08	#2
qkowlew Мастер Регистрация: 17.07.2012 Адрес: Москва Сообщений: 815 Вес репутации: 195	В апач есть модуль, помнится я себе его ставил. Давно. Ещё в 1.3.* апаче. Ищется по ключевому слову bandwidth обычно. Если шаред хостинг - спроси админов. Если они добрые и в настроении, могут даже поставить соответствующий.

22.08.2013, 01:26	#3
SergejF Эксперт Регистрация: 17.02.2008 Адрес: Донецк, ДНР Сообщений: 8,880 Вес репутации: 503	mod_bandwidth? Он скорость ограничивает. А мне бы... объем.