DoSHelper導入効果 (プロキシ踏み台対策)

DoSHelperを導入してから、約1ヶ月たちました。
サーバリソースにも変化は見られず、coreも吐かすに安定稼働しています。

導入してみてわかったこと。

◆踏み台対策
 アクセスログに以下のようなログが出力されてました。
 メソッド(GET)の後ろに、”http://”から始まるドメイン名が記載されてます。

XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:09 +0900] "GET http://www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:10 +0900] "GET http://www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:11 +0900] "GET http://www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:12 +0900] "GET http://www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:12 +0900] "GET http://www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:13 +0900] "GET http://www.qunar.comhttphttphttphttphttp/www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:14 +0900] "GET http://www.qunar.comhttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttp/www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:15 +0900] "GET http://www.qunar.comhttphttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttp/www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"
XXX.XXX.XXX.XXX - - [18/Sep/2014:11:52:16 +0900] "GET http://www.qunar.comhttphttphttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttphttp/www.qunar.comhttphttphttphttphttp/www.qunar.comhttphttphttphttp/www.qunar.comhttphttphttp/www.qunar.comhttphttp/www.qunar.comhttp/www.qunar.com/ HTTP/1.1" 503 323 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"

どうやら、mod_proxyの設定不足をついてこのドメイン(cocopoo.com)をプロキシとし、
他のサイトにアクセスしようとしているっぽい。

中国、英国、仏蘭西圏のIPが多かったです。

設定ミスなければ複数リトライが発生するようで、同IPからの集中アクセスとみなして
DoSHelperが遮断してくれてました。

うれしい誤算です。

おもしろいことにレスポンスコード503で返却すると、その後のアクセスがビタっと止まるんですね。
レスポンスコードが異常なら、停止するツールを利用しているようでした。

コメントを残す

メールアドレスが公開されることはありません。