Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[apache] 100.000 requests van 1 IP op 1 pagina, DOS of niet?

Pagina: 1
Acties:

vrijdag 10 oktober 2014 12:35

Acties:
  • subsonik
  • Registratie: Augustus 2001
  • Laatst online: 29-11 18:16

subsonik

Topicstarter
Hello,

Ik zag in mijn Apache access log gisterenavond ca. 100.000 lijntjes verschijnen, waarbij dezelfde eindgebruiker steeds dezelfde pagina opvraagt...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

111.222.333.444 - - [09/Oct/2014:18:11:31 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:31 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:31 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:31 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:31 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:31 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:31 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:31 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:32 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
111.222.333.444 - - [09/Oct/2014:18:11:33 +0200] "GET /page.html HTTP/1.1" 200 10102 "http://example.org/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
... enzoverder


Dat dus 100.000 keer over anderhalf uur, of ruim 18 requests per seconde, dit ruikt wel hard naar een knullige DOS attack. :)

MAAR...
- het is zeker niet de eerste keer dat dit gebeurt
- de veroorzakers vertonen voor en na de DOS meestal normaal surfgedrag
- het gaat steeds om Chrome browserstrings
- een keer waarbij ik het IP kon herleiden tot een gebruiker, wist de gebruiker van niks, sterker nog: het was een klant
- mocht het echt een DOS zijn, waarom maar 18 requests per seconde?

DUS:
Zou het zomaar kunnen dat een of andere vage bug in Chrome ervoor zorgt dat Chrome doodleuk begint te DOS'en?
Ik weet dat er prerendering ingebouwd is in Chrome, maar dit zou pas actief worden als je rel=prerender opneemt in je links, wat we niet doen...

Heeft toevallig iemand enige ervaring ter zake? Het zou mij veel helpen mocht ik beter kunnen inschatten of het al dan niet om een opzettelijke attack gaat >:)

vrijdag 10 oktober 2014 16:45

Acties:
  • xleeuwx
  • Registratie: Oktober 2009
  • Laatst online: 26-11 17:08

xleeuwx

developer Tweakers Elect
neem aan dat je de log aangepast hebt ? met ip en url ?

vrijdag 10 oktober 2014 17:28

Acties:
  • pedorus
  • Registratie: Januari 2008
  • Niet online

pedorus

Ik vermoed eigenlijk dat een stukje javascript op je eigen site dit veroorzaakt, specifiek in bepaalde browsers, en dat een klant de betreffende pagina open laat staan..

Vitamine D tekorten in Nederland | Dodelijk coronaforum gesloten

maandag 13 oktober 2014 11:32

Acties:
  • subsonik
  • Registratie: Augustus 2001
  • Laatst online: 29-11 18:16

subsonik

Topicstarter
xleeuwx: inderdaad, IP, url en host in de log zijn aangepast en ingekort. Maar alle lijnen zijn dus 100% identiek, op de timestamp na.

pedorus: ik dacht ook in die richting, maar het lijkt mij toch sterk. We hebben dagelijks > 20000 bezoekers en toch komt dit maar af en toe voor, nu 2x op 2 weken, en dan nog steeds op een andere pagina. De paginas in kwestie worden ook nergens via AJAX ingeladen...
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq