DDOS — случайный реферер (ботнет)?

Question

Евгений @CB9TOIIIA

Joomla разработчик

DDOS — случайный реферер (ботнет)?

Всем привет! ДДОСЯТ сайты, перешел на VDS + CloudFlare (PRO), прошу помощи, как можно отбить такие атаки?

108.162.254.65 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 499 0 "http://203g96q6e93.ua/" "Opera/9.80 (Windows NT 6.1; U; Edition Grenada Local; ru) Presto/2.10.289 Version/9.06"

108.162.254.65 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 499 0 "http://4du9f.net/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.014982; .NET CLR 3.5.014982; .NET CLR 3.0.014982"

141.101.80.49 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 499 0 "http://l9q904vb20.net/" "Opera/9.80 (Windows NT 6.1; WOW64; U; Edition France Local; ru) Presto/2.10.289 Version/11.08"

108.162.212.48 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 504 182 "http://891f25944drj0.ua/" "Mozilla/5.0 (Windows NT 5.1; rv:13.0) Gecko/20100101 Firefox/13.0"

141.101.98.213 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 499 0 "http://bg61dar789x.org/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.537976; .NET CLR 3.5.537976; .NET CLR 3.0.537976"

141.101.98.213 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 499 0 "http://85rh4er9k3.net/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.033922; .NET CLR 3.5.033922; .NET CLR 3.0.033922"

141.101.80.49 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 499 0 "http://v410e78grgrki9.net/" "Opera/9.80 (Windows NT 5.1; U; Edition Grenada Local; ru) Presto/2.10.289 Version/5.08"

141.101.80.49 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 499 0 "http://0z8n634c.org/" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20100101 Firefox/12.0"

141.101.80.49 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 499 0 "http://98l3j47grimx.com/" "Mozilla/5.0 (Windows NT 6.1; rv:15.0) Gecko/20100101 Firefox/15.0"

173.245.62.188 - - [15/Oct/2014:17:23:15 +0300] "GET / HTTP/1.1" 499 0 "http://fsl4y5zt79.org/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SLCC2; .NET CLR 2.0.989772; .NET CLR 3.5.989772; .NET CLR 3.0.989772"

108.162.212.16 - - [15/Oct/2014:17:23:16 +0300] "GET / HTTP/1.1" 499 0 "http://960culf1sqsu.ua/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.029777; .NET CLR 3.5.029777; .NET CLR 3.0.029777"

108.162.254.65 - - [15/Oct/2014:17:23:16 +0300] "GET / HTTP/1.1" 499 0 "http://8gen0pguofs19.net/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.498375; .NET CLR 3.5.498375; .NET CLR 3.0.498375"

108.162.223.131 - - [15/Oct/2014:17:23:16 +0300] "GET / HTTP/1.1" 499 0 "http://72ihk.net/" "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0"

108.162.254.65 - - [15/Oct/2014:17:23:16 +0300] "GET / HTTP/1.1" 499 0 "http://953qu3w4v0r7.org/" "Mozilla/5.0 (Windows NT 5.1; WOW64; rv:11.0) Gecko/20100101 Firefox/11.0"

103.22.200.180 - - [15/Oct/2014:17:23:16 +0300] "GET / HTTP/1.1" 499 0 "http://648z620t6f.net/" "Opera/9.80 (Windows NT 6.1; WOW64; U; Edition Romania Local; ru) Presto/2.10.289 Version/7.05"

141.101.80.49 - - [15/Oct/2014:17:23:16 +0300] "GET / HTTP/1.1" 499 0 "http://34yupy175a3587.org/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.349828; .NET CLR 3.5.349828; .NET CLR 3.0.349828"

108.162.254.65 - - [15/Oct/2014:17:23:16 +0300] "GET / HTTP/1.1" 499 0 "http://zi22jg4j00.net/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.029356; .NET CLR 3.5.029356; .NET CLR 3.0.029356"

108.162.223.131 - - [15/Oct/2014:17:23:16 +0300] "GET / HTTP/1.1" 499 0 "http://lsu7849.ua/" "Opera/9.80 (Windows NT 5.1; WOW64; U; Edition Egypt Local; ru) Presto/2.10.289 Version/12.09"

141.101.75.95 - - [15/Oct/2014:17:23:16 +0300] "GET / HTTP/1.1" 499 0 "http://2x9rgrr69lr.net/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.045441; .NET CLR 3.5.045441; .NET CLR 3.0.045441"

Вопрос задан более трёх лет назад
4275 просмотров

Комментировать

Подписаться 2 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 2

3 комментария

AntiDDoSexpert @AntiDDoSexpert

проще уже банить те ip у которых в рефе более или равно 3-х цыфр

Написано более трёх лет назад
Евгений @CB9TOIIIA Автор вопроса

AntiDDoSexpert: Я тоже об этом думал) Не подскажите как правильней огранизовать? Сейчас стоит проверка на бота через CLoudFlare только для главной страницы)

Написано более трёх лет назад
AntiDDoSexpert @AntiDDoSexpert

смотря на чем писать прогу будете, а вообще зачем вам изобретать велосипед если уже давно все придумано , у нас например идет фильтрация на уровне приложения (L7) по рефереру, куки, url

Написано более трёх лет назад

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Cloudflare

+1 ещё

Простой
Как отключить блокировку моей подсети или ASN в CloudFlare?
- 2 подписчика
- 15 дек.
- 104 просмотра
1

ответ
Cloudflare

Простой
Почему правила кеширования не работают должным образом?
- 1 подписчик
- 09 дек.
- 88 просмотров
0

ответов
Cloudflare

Средний
Как закрыть доступ к сайту от ботов по юзер агенту через cloudflare?
- 1 подписчик
- 06 дек.
- 81 просмотр
1

ответ
Cloudflare

+1 ещё

Простой
Какие есть аналоги cdn cloudflare?
- 1 подписчик
- 25 нояб.
- 285 просмотров
2

ответа
PHP

+2 ещё

Сложный
Как обойти блокировку серверов CloudFlare на уровне провайдера?
- 1 подписчик
- 20 нояб.
- 4560 просмотров
6

ответов
DNS

+1 ещё

Простой
Почему сайт не загружается с DNS over HTTPS?
- 2 подписчика
- 05 нояб.
- 372 просмотра
1

ответ
Cloudflare

Простой
Почему Cloudflare подгружает старые DNS записи?
- 1 подписчик
- 02 нояб.
- 102 просмотра
2

ответа
MikroTik

+1 ещё

Сложный
Как вылечить Mikrotik от DDOSa?
- 3 подписчика
- 01 нояб.
- 7600 просмотров
3

ответа
1С-Битрикс

+1 ещё

Простой
Bitrix и Cloudflare – ошибки работы с сокетами. Как решить?
- 1 подписчик
- 23 окт.
- 278 просмотров
1

ответ
Cloudflare

Простой
Как обойти блокировки IP из РФ хостинг провайдером?
- 1 подписчик
- 02 окт.
- 294 просмотра
1

ответ
Показать ещё Загружается…

Ведущий системный аналитик

Сбер • Москва

от 240 000 ₽

DevOps Engineer/System Administrator

Freuders

от 4 000 $

Senior PHP Программист

Автомакон

от 287 000 до 440 000 ₽

Отправка команды на (раз)блокировку двигателя Chery Tiggo 7 Pro

23 дек. 2024, в 00:15

20000 руб./за проект

Собрать из исходного кода и запустить в докере рабочее приложение с бд

22 дек. 2024, в 22:57

500 руб./за проект

Аппликация для фильтра заказов

22 дек. 2024, в 20:40

10000 руб./за проект

Answer 1 · 2014-10-15 19:41:20

Айпишники повторяются. Делайте request throttling, при превышении количества запросов в единицу времени записывайте ip-адрес в отдельный лог, на этот лог натравливайте fail2ban.

Answer 2 · 2014-10-15 23:31:05

Пума Тайланд @opium

Просто люблю качественно работать

Да самый банальный ддос

Ответ написан более трёх лет назад

1 комментарий

DDOS — случайный реферер (ботнет)?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт