请教大家，这是正常访问，还是某种攻击手段？

BOYPT

2013-08-20 09:10:01 +08:00

我的vps上也有，而且我的还是https站。统计了一下来源IP，几乎是来自全国各地。
我怀疑是GFW在探测https的证书信息。

halfbloodrock

2013-08-20 09:10:05 +08:00

不像正常的。

下面的方式试试看吧。

remarks: send spam reports to antispam@dcb.hz.zj.cn
remarks: and abuse reports to antispam@dcb.hz.zj.cn

qiuai

2013-08-20 09:46:01 +08:00

不像正常的呢。不过具体是干嘛的。没什么想法。。

myoula

2013-08-20 10:06:02 +08:00

看起来不像同一Ip 一秒钟内访问次数这么频率这么高，而且数据包大小一样。
这个具体要看访问日志
Ip 访问时间访问的Url UserAgent 如果有规律除了蜘蛛外基本上肯定是采集之类的
楼主可以通过 nginx 的 limit_req http://wiki.nginx.org/HttpLimitReqModule 来限制
比如同一Ip+UserAgent 对某类Url 一秒内的访问次数等

myoula

2013-08-20 10:09:52 +08:00

举个例子这是我线上在跑的
limit_req_zone $anti_post zone=anti_post:20m rate=1r/s;
location =/post.php {

if ($request_method = POST) { #是否为post
set $isp P;
}

if ($http_referer !~* "xxx.com") { #不是来源网站
set $isp "${isp}N";
}

if ($isp = PN) { #不是来源网站的post 则403
return 403;
}

if ($remote_addr = "118.244.147.22") { #针对固定ip的禁止
return 403;
}

limit_req zone=anti_post burst=1 nodelay;
if ($http_cookie ~* "usercookie=([^;]+)(?:;|$)") { 一秒钟只允许post1-2次
set $anti_post $1;
}
}

dndx

2013-08-20 10:11:43 +08:00

@BOYPT SSL 信息也不会在 80 端口上探测吧，V2EX 全站强制 SSL ，80 端口有如此大的不明流量显然不正常。

@myoula 这个层面上的攻击应该用 IDS 或者 iptables 来解决，还没到 nginx 那一层。

BOYPT

2013-08-20 11:34:41 +08:00

@dndx 我说的是我的vps，在https端口。

BOYPT

2013-08-20 11:37:37 +08:00

@myoula 显然这是无效请求，连GET/POST头都没有，哪来什么ua，nginx一点信息都拿不到，什么limit更无从谈起了～

nginx本来就是返回400错误。不会跑到后端去的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/79577

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.