DoSHelperを導入してから、約1ヶ月たちました。
サーバリソースにも変化は見られず、coreも吐かすに安定稼働しています。
導入してみてわかったこと。
◆踏み台対策
アクセスログに以下のようなログが出力されてました。
メソッド(GET)の後ろに、”http://”から始まるドメイン名が記載されてます。
XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:09 +0900] "GET http://www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0" XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:10 +0900] "GET http://www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0" XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:11 +0900] "GET http://www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0" XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:12 +0900] "GET http://www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0" XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:12 +0900] "GET http://www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0" XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:13 +0900] "GET http://www.qunar.comhttphttphttphttphttp/www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0" XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:14 +0900] "GET http://www.qunar.comhttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttp/www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0" XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:15 +0900] "GET http://www.qunar.comhttphttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttp/www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0" XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:16 +0900] "GET http://www.qunar.comhttphttphttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttp/www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 503 323 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
どうやら、mod_proxyの設定不足をついてこのドメイン(cocopoo.com)をプロキシとし、
他のサイトにアクセスしようとしているっぽい。
中国、英国、仏蘭西圏のIPが多かったです。
設定ミスなければ複数リトライが発生するようで、同IPからの集中アクセスとみなして
DoSHelperが遮断してくれてました。
うれしい誤算です。
おもしろいことにレスポンスコード503で返却すると、その後のアクセスがビタっと止まるんですね。
レスポンスコードが異常なら、停止するツールを利用しているようでした。