Apache запросы на несуществующие домены - Форум успешных вебмастеров

Dumpty · 14.06.2013, 19:57

Добрый день, пошло очень много запросов на домены, что не мои и никогда на моём сервере не были.
Вот статистика из httpd-access.log
Первой кол-во запросов, второе домен на который пришёл запрос

Код:

465 МОЙ_ДОМЕН
202 МОЙ_ДОМЕН
188 МОЙ_ДОМЕН
64 МОЙ_ДОМЕН
63 МОЙ_ДОМЕН
46 216-55-168-50.dedicated.codero.net
33 199-193-119-168.static.hvvc.us
32 d192-24-194-121.try.wideopenwest.com
32 216-55-169-205.dedicated.codero.net
32 206-225-81-84.dedicated.codero.net
27 216-55-181-74.dedicated.codero.net
26 МОЙ_ДОМЕН
26 206-225-81-219.dedicated.codero.net
25 173.199.114.179.ahrefs.com
23 98.126.61.179.static.krypt.com
22 МОЙ_ДОМЕН
22 МОЙ_ДОМЕН

И вот таких запросов идёт дофига, очень много похожих по 1-2 захода всего... Есть просто ИП адреса, а не хостнеймы... Убивает напрочь апаче через 1 мин после ребута. Есть варианты как бороться с этой хернёй?

Strikelol · 14.06.2013, 20:03

поставить nginx сверху и/или блочить в iptables. у раштера на блоге можешь почитать например как с iptables разобраться

chesser · 15.06.2013, 08:02

Цитата:

Сообщение от Strikelol

поставить nginx сверху

да

Цитата:

Сообщение от Strikelol

и/или блочить в iptables

в общем случае нет
а кого блокировать будем?

всех http-клиентов в мире, которые обратились по указанным левым доменам? - ошибка(или злой умысел) в настройках чужого DNS - не повод всех банить.

я могу создать под-домен gofuck.chesser.ru и указать для него A-запись на IP-адрес сервера гоуфака, после чего в твиттеры заслать сообщение "гоуфак переехал" и линк на мой под-домен. Далее все из твиттера пойдут посмотреть что за бред я написал...и было глупо всех этих юзеров забанить ))

Теперь о технически причинах.
На сервер ТС приходят http-запросы от http-клиентов, у которых в http-загаловке host прописан какой-то домен, не имеющий отношения к этому веб-серверу. Веб-сервер должен адекватно реагировать на такие запросы и, например, просто молчать, или редирект, или 404 ответ и тд, при этом нужно минимизировать затраты ресурсов на такие ответы. К примеру, надо отключить логи для такого и вообще дать понять клиенту, что он ошибся и больше не стоит приходить повторно.
Один апач будет тратить много ресурсов на каждый подобный ответ, т.к. из апача получается малоэффективный веб-фронтэнд, а если перед ним поставить nginx, то nginx всю работу сделает сам, а до бекэнда(апача) этот спам не дойдет. В nginx нужно сделать виртуальный сервер "по дефолту", отрубить для него access-логи и отдавать 444 ответ. Вместо nginx может быть lighttpd/varnish/CDN-сервисы - в общем любые фронтэнды, способные анализировать http-заголовки.

Теперь на счет ip и iptables... в данном случае нужна фильтрация по http-заголовкам, а на уровне системного фаервола http-хедеры еще не готовы к анализу и их парсинг происходит уже на веб-сервере.

Но iptables тут тоже может пригодиться для фильтрации конкретных "вредных" http-клиентов.
Например, если после анализа логов обнаружилось, что большая часть этих спам-запросов идет с одних и тех же IP адресов(часто они принадлежат хостерам), тот тут да - можно банить через iptables.

имхо

~~llittle indian~~ · 15.06.2013, 10:37