最近处理了运行子域暴力/爬行脚本的僵尸网络。将贯穿字母表&数字顺序,导致合法流量的轻微滋扰和小负载增加。
例如,点击a.domain,b.domain,..,9.domain,aa.domain,..,a9.domain。等。
显然,这是非常愚蠢的,幸运的是,它一次只源于几个IP,并且有问题的网站背后有多个自动扩展负载均衡器。攻击被停止从Varnish获取X-Forwarded-For地址,检测是通过子域尝试编写的,并且IP添加到远程阻止列表中,该阻止列表将定期刷新并添加到所有Varnish服务器上的Block.vcl中,瞧。 p>
这很好用,每次在几分钟内检测和处理事情。然而,有人指出,在阻止暴力IP和应用阻塞之后的时间段内,99.9%的流量将停止,但来自被阻止的IP的偶尔请求仍然可以通过。不足以引起大惊小怪,但更多提出问题的原因是什么?因为我不明白为什么在关闭我的Block.vcl的IP规则拒绝时,清漆级别的请求仍会通过?
是否存在一些可能在这里发挥作用的固有限制,允许少量请求通过?也许基于可用的资源或每秒钟的大量请求击中Varnish压倒它如此轻微?
资源方面,Web服务器看起来很好,所以我不确定。有什么想法吗?