Eu tenho um servidor com o Ubuntu 14.04, framework 5.2 laravel.
Nas últimas 24 horas, alguém envia continuamente solicitações de inundação de endereços ip diferentes, conforme mostrado abaixo (log / apache2 / access.log):
198.46.157.112 - - [18/Oct/2016:17:44:04 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6032 "http://ki****" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36"
175.232.51.53 - - [18/Oct/2016:17:44:04 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 500 47902 "-" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.2 Safari/537.36"
212.4.138.94 - - [18/Oct/2016:17:44:05 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6086 "http://buynew******" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 Safari/537.36"
139.0.51.221 - - [18/Oct/2016:17:44:05 +0100] "GET /choi-ads/test_44022 HTTP/1.1" 403 6086 "http://buynew*****" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) coc_coc_browser/55.2.126 Chrome/49.2.2623.126 Safari/537.36"
Eu criei um filtro no serviço fail2ban para banir esses endereços IP, mas os pedidos continham de diferentes ip's. Até agora eu tenho 1800 ip's banidos.
Você tem alguma ideia de como bloquear eficientemente essas solicitações?
Ao olhar para os registros que você fornece, solicite o URI. e UA são iguais em todos os pedidos e é sempre melhor bloquear com base no vetor de ataque comum
Portanto, faça condições de bloqueio usando
URI E UA e outro parâmetro específico de solicitação