Gostaria de saber se alguém viu fenómenos semelhantes ao que um site que ajudo a gerenciar está experimentando. Nas últimas duas semanas, cerca de 10 a 15 vezes por dia, receberemos milhares a dezenas de milhares de solicitações de um único IP.
Esses IPs são de todo o mundo, principalmente dos EUA. Todos usam a revisão 52 do Firefox.
Veja um exemplo dos nossos registros:
[06/Apr/2017:11:58:10 -0500] XXX.XXX.XXX.XXX - - "GET / HTTP/1.1" 403 173 "[URL]" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
A parte comum de todas estas instâncias é: "WOW64; rv: 52.0) Gecko / 20100101 Firefox / 52.0". Às vezes o sistema operacional é diferente.
Recebemos cerca de 8 a 10 solicitações por segundo e, em seguida, ele geralmente pára (demora muito tempo depois que nosso limitador de taxa gera erros). Eu já vi até 350.000 solicitações de uma só vez.
No começo eu pensei que era de um botnet, uma vez que continuou aparecendo por toda parte. Mas você pensaria que eles fariam ataques mais coordenados.
Então eu entrei e percebi que, às vezes, esses visitantes navegavam pelo site, clicavam em um artigo ou liam o fórum, e então os pedidos malucos aconteceriam. Os URIs específicos não têm nada em comum.
Pesquisei os IPs de alguns desses ataques em nosso banco de dados e alguns até são colaboradores legítimos da comunidade.
Minha hipótese é que isso é causado por uma extensão do navegador que é incompatível de alguma forma com o Firefox 52, já que isso só acontece com essa revisão. O tráfego não parece malicioso.
Eu me pergunto se alguém está vendo "ataques" familiares ou se alguém tem uma idéia da causa.