Apacheaccess.logがGET ... HTTP /1.1 "リクエストでフラッド
Ubuntu 14.04、laravel 5.2フレームワークを備えたサーバーがあります。
過去24時間に、以下に示すように、誰かがさまざまなIPアドレスからフラッドリクエストを継続的に送信します(log/Apache2/access.log)。
198.46.157.112 - - [18/Oct/2016:17:44:04 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6032 "http://ki****" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36"
175.232.51.53 - - [18/Oct/2016:17:44:04 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 500 47902 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.2 Safari/537.36"
212.4.138.94 - - [18/Oct/2016:17:44:05 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6086 "http://buynew******" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 Safari/537.36"
139.0.51.221 - - [18/Oct/2016:17:44:05 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6086 "http://buynew*****" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) coc_coc_browser/55.2.126 Chrome/49.2.2623.126 Safari/537.36"
これらのIPアドレスを禁止するためにfail2banサービスにフィルターを作成しましたが、要求は異なるIPから継続します。今まで私は1800のIPを禁止しました。
これらのリクエストを効率的にブロックする方法を知っていますか?
ログを確認することにより、要求URIを提供します。とUAはすべてのリクエストで同じであり、一般的な攻撃ベクトルに基づいてブロックすることをお勧めします
したがって、を使用してブロック条件を作成します
URI ANDUAおよびその他のリクエスト固有のパラメータ