Это DDos? Если "да", то с какой целью?

[vitalya42]

Здравствуйте.

На интернет-магазин периодически (раз в полторы недели) в разное время суток поступает по 1000-1500 запросов на одну страницу с одного ip

Раньше фиксировали 3-4 разных ip-адреса. В одной "атаке" используется 1 ip адрес, в разные дни - разные ip. Сейчас стали фиксировать один и тот же ip , принадлежит серверам mail.ru Переписка с техподдержкой mail.ru ничего не дает - советуют обратиться в полицию.

Начинается все вот так:

sait.ru x.x.x.x - - [17/Sep/2015:09:28:03 +0300] "GET / HTTP/1.0" 302 - "-" "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0"
sait.ru x.x.x.x - - [17/Sep/2015:09:28:03 +0300] "GET / HTTP/1.0" 302 - "-" "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0"
sait.ru x.x.x.x - - [17/Sep/2015:09:28:03 +0300] "GET / HTTP/1.0" 302 - "-" "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0"
... заканчивается вот так...
sait.ru x.x.x.x - - [17/Sep/2015:09:28:33 +0300] "GET / HTTP/1.0" 302 - "-" "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0"
sait.ru x.x.x.x - - [17/Sep/2015:09:28:34 +0300] "GET /favicon.ico HTTP/1.0" 404 209 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0"

В итоге 1000-1500 запросов за 30 секунд. И потом все затихает на несколько дней. Пару раз было по 8000 запросов, но не больше.

Началось все после ввода на сайте конфигуратора для клиента ( заморочка такая, конверсия интернет-магазина увеличилась на 35 процентов ). До этого "атак" таких не было.

Сначала эти "атаки" были на основной домен, на поддомены, на личный кабинет покупателя. Сейчас наблюдаем только "атаки" на один поддомен.

Это вообще можно назвать DDOSом? Или это детская шалость, по сравнению с реальным DDOSом?
Если это атаки, то с какими целями - взлом? повесить сервак или базу? Почему "атаки" с такими перерывами?

Логики абсолютно никакой не прослеживается.
Есть пару недобросовестных конкурентов, поэтому логично заподозрили их, но опять же - ЛОГИКИ НИКАКОЙ в таких действиях не вижу.

Помогите советом - что это за фигня такая?

Спасибо )))))

 

[Profforg]

Это вообще можно назвать DDOSом? Или это детская шалость, по сравнению с реальным DDOSом?

Это зависит от объёма вашей инфраструктуры. Если ваш сайт размещён на маленьком VPS, то для вас это уже неплохая атака (правда "DDoS" это всё же когда IP-адресов много, а не один), если же у вас кластер из 10+ серверов, то вы это никогда не заметите.

Если для вас этот флуд создаёт проблемы, то могу предложить поставить сайт под защиту. Для начала проксированием, а потом (если захотите / будет возможно, могу предложить решение с размещением на моём оборудованием и дополнительными фишками - оптимизация, ускорение, масштабируемость, выдерживание нагрузок). Цена будет зависеть от вашего "чистого" трафика, но в любом случае я стараюсь поддерживать цену на минимальном уровне.
При фильтрации вы подобного флуда не заметите. На уникальный URL по умолчанию я применяю лимит в 5 запросов в секунду с IP-адреса. Т.е. ваш сайт с данного IP-адреса или с каждого из них по отдельности получит не более 5 запросов в секунду. Последующие будут отклоняться на уровне прокси.

 

[admin]

Хотя бы настройки limit_req_zone для ограничения количества запросов в Nginx задайте.

Вот пример:

http {
limit_req_zone $binary_remote_addr zone=myzone:10m rate=2r/m;

...
server
{
listen 80;
      location / {
            ...
                      limit_req zone=myzone burst=4;
                      limit_req_status 444;
            ...
      }

}

}

 

[Seven]

в nginx ->

if ($http_user_agent = "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0") {
return 444;
}

Потом соберешь IP адреса и закинешь в ipset.

 

[admin]

Я думаю где одинаковый агент, там и одинаковый IP. От такого помогает limit_req.

 

[Seven]

Я думаю где одинаковый агент, там и одинаковый IP. От такого помогает limit_req.

но чаще всего со спуфингом ебашут