Огромен трафик от едно IP !?

[dextersh]

Здравейте.

Отново имам проблем и се налага пак да се допитам до вашето компетентно мнение.

Имам качени програми в един хостинг и от там ги теглят потребителите на моя сайт, който е на друг хостинг. На първият е пусната hotlink защитата и е позволено тегленето от вторият сайт. До сега имаше и отметка да може и с директен url да се тегли, но сега я махнах.

Тоест от други сайтове няма да могат да теглят тези програми, даже и да имат URL-а им.

Обаче все пак вчера едно IP ми е направило около 700GB трафик и то е ето това: 60.48.54.201. За него ми изписва че е от Малайзия. Та все тая сега го добавих в IP Deny Managera за да бъде блокирано. Обаче то вече ми изхаби трафика за целия месец.

Имате ли някаква идея какво е това, бот ли е или нещо друго и какво цели и как да го спра? И също дали да искам някакво съдействие от хостинг провайдера?

Едит: И още един въпрос. Ако включа Leech Protect какво ще стане? Ще може ли да се теглят изобщо файлове?

EDIT2: Сега видях суровите логове и за това IP като рефърър показва самата папка в която са файловете. Тоест не е теглено през другия сайт, а може би с директно въведен URL (което вече забраних и се надявам това до поправи проблема).

 

[vha777]

Re: Огромен трафик от едно IP !?

Здравейте.

Отново имам проблем и се налага пак да се допитам до вашето компетентно мнение.

Имам качени програми в един хостинг и от там ги теглят потребителите на моя сайт, който е на друг хостинг. На първият е пусната hotlink защитата и е позволено тегленето от вторият сайт. До сега имаше и отметка да може и с директен url да се тегли, но сега я махнах.

Тоест от други сайтове няма да могат да теглят тези програми, даже и да имат URL-а им.

Обаче все пак вчера едно IP ми е направило около 700GB трафик и то е ето това: 60.48.54.201. За него ми изписва че е от Малайзия. Та все тая сега го добавих в IP Deny Managera за да бъде блокирано. Обаче то вече ми изхаби трафика за целия месец.

Имате ли някаква идея какво е това, бот ли е или нещо друго и какво цели и как да го спра? И също дали да искам някакво съдействие от хостинг провайдера?

Едит: И още един въпрос. Ако включа Leech Protect какво ще стане? Ще може ли да се теглят изобщо файлове?

EDIT2: Сега видях суровите логове и за това IP като рефърър показва самата папка в която са файловете. Тоест не е теглено през другия сайт, а може би с директно въведен URL (което вече забраних и се надявам това до поправи проблема).

bot някакъв. Ето тук поддържам една колекцийка от IP та на ботове, анонимни проксита, изявени международни спамери, IP на сео оптимизатори, прекалено активно използващи спам програми и т.н - събирам ги от разни мои сайтове, специално констуирани да са примамливи за таквиз чудеса.

 

[s1yf0x]

Re: Огромен трафик от едно IP !?

разгледай си access-log-овете за заявките от този IP адрес, там би следвало да има повече информация. Най-много някой фалшив User-Agent да са сложили из хедърите но пак е нещо

 

[dextersh]

Re: Огромен трафик от едно IP !?

Еми това е user agent-a:
Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)

Надявам се сега като сложих тая отметка за директен достъп да е забранен, да не може повече. Пък и IP-то му е забранен достъпа вече. Ще видя като се обнови статистиката дали има още.

 

[mlazarov]

Re: Огромен трафик от едно IP !?

Прилича ми на Flashget user agent-a

 

[ktomov]

Re: Огромен трафик от едно IP !?

От известно време пробвам едно приложение наречено ZB Block. Вярно няма да ти помогне особенно много в случея, защото ти предпазва php файловете, но за сметка на това може да му погледшен дефинициите. Има описани доста ip ranges, известни вече като спам и бот мрежи. Адреса на приложението е този. С правилно написан .htaccess или филтрация, чрез iptables ще ти свърши перфектна работа.

 

[dextersh]

Re: Огромен трафик от едно IP !?

Ами за момента трафика е нормален, ще продължа да наблюдавам ...

 

[diabolic.bg]

Re: Огромен трафик от едно IP !?

От известно време пробвам едно приложение наречено ZB Block. Вярно няма да ти помогне особенно много в случея, защото ти предпазва php файловете, но за сметка на това може да му погледшен дефинициите. Има описани доста ip ranges, известни вече като спам и бот мрежи. Адреса на приложението е този. С правилно написан .htaccess или филтрация, чрез iptables ще ти свърши перфектна работа.

Здравейте! Извинявам се, че след толкова дълго отсъствие се захващам с една овехтяла тема, но бих искал да разбера дали все още ползваш ZB Block и какво ти е мнението за него. Живо ме интересува, защото аз съм дясната ръка на автора, глобален модератор на форума му и работя с него по тази защита от около година и половина. Имам български почти огледален сайт на ZB Block и се чудя защо никой тук не проявява интерес... Програмата става все по-добра, поне по мое виждане. Преди 3-4 дни ми позволи да поема една масирана DDoS атака от около 50 бота и въобще не я усетих, освен като гледах лог файла.
Та с две думи, ще се радвам да чуя мнения по въпроса.
Благодаря предварително за всяко мнение!

 

[diabolic.bg]

Re: Огромен трафик от едно IP !?

Благодаря много за отговорите! Ето затова идвам рядко - тук няма място за простосмъртни... а мен още не са ме приели сред боговете.

 

[scoobydoo]

Re: Огромен трафик от едно IP !?

Благодаря много за отговорите! Ето затова идвам рядко - тук няма място за простосмъртни... а мен още не са ме приели сред боговете.

Какви отговори очакваш? То въпроса ти е по-скоро към един човек. Пиши му лично съобщение щом искаш да ти отговори. А ако той не влиза във форума или не иска да ти отговори - това си е негова работа

 

[s1yf0x]

Re: Огромен трафик от едно IP !?

Благодаря много за отговорите! Ето затова идвам рядко - тук няма място за простосмъртни... а мен още не са ме приели сред боговете.

ето ти отговор от простосмъртен. Лично мое мнение е, че в конкретния случай няма да помогнем ZB Block тъй като не става въпрос за паралелни, многобройни конекции от различни IP адреси, които да целят да го съборят с Apache processes.

 

[diabolic.bg]

Re: Огромен трафик от едно IP !?

ето ти отговор от простосмъртен. Лично мое мнение е, че в конкретния случай няма да помогнем ZB Block тъй като не става въпрос за паралелни, многобройни конекции от различни IP адреси, които да целят да го съборят с Apache processes.

ZB Block има възможност да блокира и конкретно ІР без никакъв проблем. Още повече от 2-3 версии насам имаме и нова екстра - особено упоритите натрапници три пъти получават грешка 403 и след това вече става на 503 за 24 часа. А самия досадник влиза в локален "черен списък" и при нова поява подновява "абонамента" си. Така хем не досажда, хем и не товари излишно сървъра и не яде честотна лента.

 

[s1yf0x]

Re: Огромен трафик от едно IP !?

ZB Block има възможност да блокира и конкретно ІР без никакъв проблем. Още повече от 2-3 версии насам имаме и нова екстра - особено упоритите натрапници три пъти получават грешка 403 и след това вече става на 503 за 24 часа. А самия досадник влиза в локален "черен списък" и при нова поява подновява "абонамента" си. Така хем не досажда, хем и не товари излишно сървъра и не яде честотна лента.

А какъв ти е проблема въпросния досадник да го блокираш чрез Deny From ip.ip.ip.ip през .htaccess Така, хем няма да се появи повече, хем няма да ти яде честотната лента или там както му казвате на трафика, хем ZB Block няма да ти изразходва излишни ресурси на сървъра. Да не говорим, че може да стане чрез iptables , чрез mod_security на Apache и куп други методи, които не изискват third party софтуер, който също да харчи ресурси. Единствената причина поради, която можеш да ползваш подобен софтуер е удобството да не четеш логове и статистики и сам да извършваш манипулациите (което не отнема кой знае колко време ако ти се администрира сървъра) , но когато опреш до горна граница на ресурсоемкост, ще трябва да режеш точно от подобни third party софтуери, функциите на които могат да се заместят с далеч по-леки процеси в Linux.

 

[diabolic.bg]

Re: Огромен трафик от едно IP !?

А какъв ти е проблема въпросния досадник да го блокираш чрез Deny From ip.ip.ip.ip през .htaccess Така, хем няма да се появи повече, хем няма да ти яде честотната лента или там както му казвате на трафика, хем ZB Block няма да ти изразходва излишни ресурси на сървъра. Да не говорим, че може да стане чрез iptables , чрез mod_security на Apache и куп други методи, които не изискват third party софтуер, който също да харчи ресурси. Единствената причина поради, която можеш да ползваш подобен софтуер е удобството да не четеш логове и статистики и сам да извършваш манипулациите (което не отнема кой знае колко време ако ти се администрира сървъра) , но когато опреш до горна граница на ресурсоемкост, ще трябва да режеш точно от подобни third party софтуери, функциите на които могат да се заместят с далеч по-леки процеси в Linux.

Аз самият съм ревностен почитател на .htaccess, но има неща, които ZB Block прави по-лесни. Затова ползвам успоредно и двете защити. Не знам доколко си запознат с работата на htaccess и Апачи, но има един момент, в който htaccess почва да бави сървъра, ако го натовариш да проверява стотици ІР адреси и освен това лог файловете растат като гъби, защото се записва всичко, включително забраната 403. От друга страна ZB Block не ти хаби никакви ресурси - тестовият му сървър е на пентиум 930 Мхц и бързодействието му е под 1/10 от секундата на тази машина. Той "дреме", докато не го предизвикаш, а тогава лови много атаки и други действия, които не са предвидени. Ако ти не си се сетил как може да те атакуват и не си записал правило в .htaccess, той няма да реагира и съответно да те предпази. повярвай ми, моят е дълъг над 80 см, около 3 години и половина допълвам правила, които установявам експериментално и въпреки това, никога не мога да предвидя всички нова тактики, които ще измисли един хакер. В това отношение ZB Block е далеч по-гъвкав - в него има евристично откриване на атаките. Преди седмица измислих начин как .htaccess да връща 503 на разни досадници, но все пак го запазих за крайно досадните, на които не искам да дам достъп дори до robots.txt - цялата Корея и Китай, които се изживяват като големи хакери, особено корейците.
Като стана въпрос за логове, ZB Block пише един текстов файл, който за около 3 седмици става 200 кв и винаги може да го изтриеш, а той веднага генерира нов при следващ инцидент. Така че програмата си има плюсове, които не са за пренебрегване. Недостатъкът е, че пази само рнр, но тя за това е замислена.
А и прецени сам - каква ми е далаверата да я рекламирам, при положение, че е безплатна? Просто си е добра и затова я хваля.

 

[s1yf0x]

Re: Огромен трафик от едно IP !?

Трудно ми е да повярвам, че на сървър с над 600 акаунта това нещо ще "дреме" и това дали на тестовия му сървър процесора бил "охлювв" няма никакво значение при многосокетни машини с 4 ядрени процесори - проблема с натоварването е на даруго място. Не знам ти доколко си запознат с работата на Apache и т.н. но тук не е мястото да си мерим пи..... Едно е да тестваш софтуери, които ще работят паралелно с Apache на сървър с 50 виртуални хоста, но съвсем друго е да го сложиш на сървър с над 1000 vhosts от които поне 90% са бъгави CMS-и, на които както се изрази мой колега първо се пишат дупките в сигурността и после останалото се попълва с код. Щом те кефи, ползвай го. ОСтаналите ще си караме на htaccess и mod_security

 

[diabolic.bg]

Re: Огромен трафик от едно IP !?

Изобщо не става въпрос да си мерим каквото и да е. Прав си, че досега ZB Block не е тестван на машина с 1000 виртуални хоста, но няма и как да стане, ако някой не реши да го изпробва. Аз лично нямам такава възможност, а и авторът му - също. Всички, които до момента ползват защитата, защитават по няколко сайта. Така че по този въпрос не мога да предложа конкретни данни, което си е истината.

 

[dzver]

Re: Огромен трафик от едно IP !?

Оставете хората да точат и сменете хостинга с такъв с повече трафик