Wer oder was versteckt sich hinter der IP: 192.114.71.1

Von | 16. Februar 2013

Webserver mit NginXHeute Nacht hat hat sich mein Webserver gemeldet und sich über „massiven Traffic“ beschwert.
Ein Blick in das Log fördert die IP:192.114.71.1 zutage. Diese crawlt die ganze Webseite wie ein Bot durch, ohne jedoch irgendwelche Pausen zu lassen. Dabei wurde innerhalb kürzester Zeit mehr als 3000 Zugriffe geloggt.
Lustigerweise ändert der Bot sogar seine Browser-Kennung. Mal gibt es sich als „Mozilla/5.0 (compatible)“ aus um dann seine Zugriffe als MSIE 7.0 fortzuführen.

Gibt es eigentlich auch so etwas wie mod_evasive für nginx ? Eine Antwort darauf habe ich in der Doku von nginx gefunden. Nginx bringt ein Modul „Module ngx_http_limit_conn_module“ mit. Diese modul bietet die Möglichkeit die Anzahl der Verbindungen zu limitieren.

Als erstes werde ich die Anzahl der Verbindungen pro Client und für den ganzen Server begrenzen


#nginx.conf
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;

server {
    ...
    limit_conn perip 10;
    limit_conn perserver 100;
} 

Mit diesen Einstellungen werde ich aber erst morgen „spielen“ können…
PS: Das update von nginx, vor ein paar Tagen, hat auch die nginx.conf ersetzt. Hier hatte ich aber die worker_processes auf 1 festgelegt. Sonnst reicht unter Umständen der RAM des Servers nicht aus, und Er fängt an zu swappen. So wie heute Nacht geschehen.