Az utóbbi időben gyakran riaszt és avatkozik be a DoS (nem DDoS!) védelem, hogy egy forrás IP-ről rövid idő alatt (jellemzően 1-3 másodperces időablakon belül) 20-150 oldallekérés érkezett ugyanarra a weboldalra. (Az URL-ek különböznek, mintha egy crawler akarná végignézni az egész weboldalt)
Az oldallekérés alatt valódi oldalgenerálást tessék érteni, tehát nem a GET-ek számát. (Tehát nem arról van szó, hogy egy oldalgenerálás + a járulékos statikus tartalmak - css, js, képek, stb.)
A kliensek jellemzően legitimnek látszó, dinamikus IP-s ügyfelek szerte a világból. A user agent string alapján Chrome-os desktop géptől Androidon át minden van benne. (már, ha a user agent string bármennyire is fedi a valóságot)
Ez vajon mi lehet, és mi értelme van?
Hozzászólások
Nem lettel veletlenul proxy? Akkor a fel vilag rajtad keresztul akar forgalmazni. Es egy ceges fix ip mogotti gepek egynek latszanak.
Webszerver logot tudsz feltenni (privat adatok nelkul)?
Hö? Idézem magamat:
"egy forrás IP-ről rövid idő alatt (jellemzően 1-3 másodperces időablakon belül) 20-150 oldallekérés érkezett ugyanarra a weboldalra."
A cél URL-ek (GET) egy konkrét, helyben kiszolgált weboldal érvényes URL-jei. A jelenség teljesen olyan, mintha egy crawler akarná egyszerre feltérképzeni az egész oldalt, vagy valamilyen weboldal-lementő szoftver próbálná egyszerre, több szálon parallelizált kérésekkel letölteni az egész oldalt.
A jelenség kb. 1-3 másodpercig áll fenn, és naponta átlagosan 1-2 alkalommal fordul elő, de mindig más és más weboldalakkal.
Nincs valami közös az oldalakban? Példul a CMS rendszer alattuk?
van köztük Wordpress, Drupal, Joomla, de talán még más is...
Jogos, azaz egy oldalhoz jönnek a GET-ek és mindegyik egy oldalra mutat?
Nem lehet, hogy valamilyen böngészőnek van egy oldal előtöltő (precache) funkciója, ami előre letölti a potenciálisan meglátogatandó oldalakat? https://en.wikipedia.org/wiki/Link_prefetching
Éjszaka még az jutott eszembe, hogy ezt abból is lehet(ne) látni, hogy csak az oldalak töltődnek le, a bennük foglalt képek nem. Illetve a session is ugyanaz. Milyen böngészőnek látszik a logban?
Black ICE kell neked :)
*
Mondjuk, esetleg egy maszkolt sql inject szkript?
--
Coding for fun. ;)
Mindegyik Chrome/Android? Akkor valami huncut push/pull dolgot néznék meg vagy zárnék ki. Amolyan Web Push dolgot. Már persze ha az érintett oldalak legalább elméletileg képesek erre. Arra tippelek, hogy valami miatt egyszerre szinkronizálódott n user y számú kliensére ez az információ, és közös a 0 idő.