Sehr viele Zugriffe und ich weiß nicht woher...

[Clever]

In letzter Zeit tauchen immer wieder Bots oder was auch immer mit gängigen User-Agents auf.
z.B. mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; .net clr 1.1.4322)

Es kommen dann pro Stunde oft über 10000 Zugriffe auf eine meiner Domains. Nachfolgende IPs hab ich bis jetzt schon gesperrt.

213.61.99.155
195.93.60.12
212.12.55.35
84.152.106.32
84.152.93.100
194.162.121.3
84.162.78.21

Die Suche über das Ripe Network gibt leider immer nur Server wie z.B. "Deutsche Telekom AG, Internet service provider" zurück.

Hat jemand ne Ahnung was dahintersteckt? Mich nervt es, daß immer wieder unter anderen IPs diese Zugriffe stattfinden. Ich kann ja immer erst reagieren wenn ichs mal zufällig bemerke.

[ole1210]

Das sind fast alles DSL-Zugänge der Telekom. Einmal ist Arcor dabei einmal proxy.nielsen.de , einmal die DAK.

Für mich sieht das nach ganz normalen Zugriffen aus!

[Clever]

hmm ja, aber genau diese IPs greifen über 10000 mal pro Stunde zu. Kann doch kein normaler Surfer sein... lol

[Hasso]

10000 Zugriffe pro Stunde, immer verschiedene IP`s und dazu noch aus den Bereichen DTAG, Colt etc.. Ich hoffe es stimmt nicht, aber es richt nach einer DDoS-Attacke. Vermutlich von den bereits infizierten Rechnern...
Genaueres kann man nur sagen, wenn man die Logfiles über den längeren Zeitraum analysiert. Frage ggf. Deinen Hoster, jedoch haben meisten nur Angst davor und keine wirklichen Schutz.

Ist der User-Agent immer gleich? Was wird so alles angefragt? über welchen Protokol?

Grüsse
Hasso

[Clever]

@hasso

du machst mir Angst...

Ich hab die User-Agents leider schon wieder aus meinem Tool gelöscht. Müßte ich erst in die Logfiles sehen.

[bull]

mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; .net clr 1.1.4322)

Sofern der User-agent wirklich kleingeschrieben ist, ist er nicht gängig.

[robo]

Hmmm ... da fallen mir 2 Möglichkeiten ein:

1. Schau die UAs mal genau an. Manche sind zu doof, einen UA zu faken, da passieren dann so Dinge, dass irgendwo ein Leerzeichen zu viel oder zu wenig ist und der Spider doch anhand des UAs zu erkennen ist.

2. Wenn du anhand des UAs nichts machen kannst, dann wäre eine Bot-Falle evtl. was für dich:
https://www.kloth.net/internet/bottrap.php
https://www.winhilfe.info/internet/home ... 005052999/

Ich habe mal noch 'ne ganz geniale Lösung in Perl gefunden - finde aber momentan den Link nicht. Bei dieser Lösung werden böse Bots, die nicht von selbst in die Falle tappen, aber anderweitig erkennbar sind, per Redirect in die Falle gejagt.

Edit: So, nach einer Runde extrem-googling habe ich es doch noch gefunden:

https://www.leekillough.com/robots.html

cu, Robo

[marc75]

jedoch haben meisten nur Angst davor und keine wirklichen Schutz

stimmt,

[Clever]

@bull

>> Sofern der User-agent wirklich kleingeschrieben ist, ist er nicht gängig.

nein, mein script gibt alle Buchstaben klein aus...

[Clever]

Ich könnte ja auch ne eigene IP Sperre bei zu vielen Zugriffen einbauen. Aber wenn es dann z.B. doch versteckte Google Bots (für cloaking detection und so) gibt bin ich dran...

[Clever]

ich hab hier auch was nettes gefunden

https://nodomain.cc/archives/2005/11/10 ... etzen.html

Ist nur die Frage wieviele Zugriffe man einer IP gestattet...

Wie oft greift denn Google in der Regel bei einer sehr populären Seite mit vielen Unterseiten zu? Habt ihr da Erfahrungswerte? Im moment hat die Domain durchschnittlich 3000 bis 5000 Seitenzugriffe (inklusive Bots) pro Stunde.

Wobei das auch alles blöd ist... In der Masse würden die DDos Attacken dann auch wieder Erfolg haben, da man ja schon eine etwas höhere Anzahl für die IP-Zugriffe gestatten muss.

[Hasso]

Zuerst muss geklärt werden, womit wir hier zu tun haben, sollte sich der Verdacht bestätigen und sollte es sich um eine tatsächliche DDoS-Attacke handelt, die mithilfe eines Viruses, von den tausend infizierten Rechnern aus automatisch abläuft, so hilft da keine Lösung wirklich, sich wirklich davor zu "schützen" ist nicht tatsächlich möglich. Es werden mehreren tausend verschiedene IP´s sein, mit Progression…

Es bleibt dann die Frage offen, ob Du ein eigener Server oder nur ein Webspace Paket hast... Die von mir oben gestellten Fragen sind auch nicht zu vernachlässigen.

Wir wollen aber positiv denken, vielleicht ist es doch nicht das, wonach es aussieht, wie gesagt ohne die konkrete Logfile Analyse ist das Ganze jeher Spekulationen.

Kurz und knapp - seriös lässt sich da nur nach der Auswertung von Logfile diskutieren, zumindest meiner Meinung nach.

Grüsse
Hasso

[Clever]

Hallo Hasso,

ich hab nen eigenen Server (managed Server). Die Logfiles werde ich mir noch ansehen, komme im moment nur nicht dazu bzw. die logs für heute stehen mir erst morgen zur Verfügung.

Ich will ja auch nicht hoffen das es so ist... Von DDos Attacken hab ich jetzt aber auch das erste mal gehört.

[Clever]

bitte nicht hauen....

also ich war wohl selbst schuld.

Ich hatte bei fehlerhaften Bildern die Anweisung onError="this.src='xxx'" um damit ein Standardbild zu laden. Leider war die url in diesem Fall auch leer und der Browser hat ununterbrochen versucht das Bild zu laden. Waren wohl Surfer, die beim surfen gestört worden sind und das Browser-Fenster im Hintergrund offen gelassen haben... lol

Ich hab also unschuldige Surfer ausgesperrt... Aber sinnlos war der thread trotzdem nicht. Immerhin weiß ich jetzt was DDos Attacken sind und ich hab mir mal die Mühe gemacht meine Logfiles manuell durchzusehen. Sonst wär ich wahrscheinlich auch nie auf den Fehler gekommen.

[Hasso]

Na, das ist doch wunderbar, Ende gut - alles gut.