Re: Атака и 400 Bad Request

[Igor Shergin <igor@xxxxxxxxxx>]

> Меня терзают смутные сомнения, не блочу ли я легитимных пользователей по 
> какой-то причине?


Недавно запустил сильно посещаемый сайт, в логе дефолтного виртуального хоста 
вижу нечто похожее:

187.74.215.245 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.74.215.245 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.74.215.245 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.57.22.175 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.59.230.90 - - [12/Jan/2012:17:43:18 +0000] "-" 400 0 "-" "-" "-"
201.80.170.150 - - [12/Jan/2012:17:43:20 +0000] "-" 400 0 "-" "-" "-"
189.11.191.59 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
189.11.191.59 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
187.67.213.161 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
187.67.213.161 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
209.10.200.2 - - [12/Jan/2012:17:43:23 +0000] "-" 400 0 "-" "-" "-"
189.27.34.174 - - [12/Jan/2012:17:43:23 +0000] "-" 400 0 "-" "-" "-"

У меня несколько зон выдачи по миру с гео-балансером, поэтому я сразу заметил, 
что 400-е ошибки приходят от хостов из соответствующих зон. Например, это 
цитата с сервера, на котором доминирует бразильский трафик - все хосты 
бразильские. На следующем шаге я нашёл эти хосты в логах виртуального сайта, и 
они произвели впечатление легитимных пользователей. У всех юзер-агент вида

Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.11 (KHTML, like Gecko) 
Chrome/17.0.963.33 Safari/535.11

Я выпал из темы хостинга на несколько лет, поэтому не знаю, что это, Mozilla, 
Chrome или Safari, но AppleWebKit определённо намекает на Mac. :-)

Мне кажется, это категорически нельзя банить, если, конечно, не ставить целью 
выпилить с ресурса всех мако****.

--
Igor Shergin

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru