Автор Гілка: допомога по access.log (Прочитано 2373 раз)

Volodymyrko · « : 2007-07-04 19:35:47 »

добрий день ..
є такі стрічки в логах apache access.log
1.
IP - - [04/Jul/2007:19:24:33 +0300] "GET / HTTP/1.0" 200 78270 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1; SV1)"

і 2.
91.76.247.48 - - [04/Jul/2007:19:25:48 +0300] "GET http://www.domain.ua/index.php HTTP/1.1" 200 803 "-" "Mozilla/5.0 (Slurp/si; slurp@inktomi.com; http://www.inktomi.com/slurp.html)"
91.76.247.48 - - [04/Jul/2007:19:25:27 +0300] "GET http://www.domain.ua/index.php HTTP/1.1" 200 803 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

суть питанням, чого в 1-му випадку "GET /" а в 2-ому "GET http://www.domain.ua/index.php",
допечі 2-и1 випадок це якасть ddos атака , чи можна заблоковувати всі запити з такими " "GET http://"

?

Praporshic · « **Відповідей #1 :** 2007-07-04 22:19:39 »

Насправді воно нормально. Особливо якщо звернути увагу на версії протоколів у логах

anatolijd · « **Відповідей #2 :** 2007-07-04 22:47:56 »

нічого страшного, всього лиш показується запит який переданий через GET.
не знаю як там правильно в специфікації протоколу http,
але

Код: [Вибрати]

GET /index.php HTTP/1.1
Host: domain.ua

і

Код: [Вибрати]

GET http://domain.ua/index.php HTTP/1.1

дають однаковий результат.

якшо коротко - what you see is what you GET, каламбур однако

anatolijd · « **Відповідей #3 :** 2007-07-04 22:49:26 »

ex, випередили, блін

DalekiyObriy · « **Відповідей #4 :** 2007-07-04 23:20:24 »

це залежить, ось у мене на сервері є таке
... - [01/Jul/2007:08:34:19 -0400] "GET http://www.ebuysearch.com/prxjdg.cgi HTTP/1.1" 403 ...
і, як можна здогадатись, мій сайт - не ібайсьорч

anatolijd · « **Відповідей #5 :** 2007-07-04 23:34:56 »

хм, дивно, завтра на роботі спробую подивитись.
Точно бачив php скрипт який відкриває сокет, засилає туди такого типу хідери і отримує правильний контент... :-/

PAL · « **Відповідей #6 :** 2007-07-05 17:18:11 »

Це не DoS, це перевіряють на відкритий проксі
Нічого страшного

Volodymyrko · « **Відповідей #7 :** 2007-07-06 10:52:14 »

Цитата

Це не DoS, це перевіряють на відкритий проксі

був там squid перед apache-ем, і записи в логах що хтось хоче скористатись ним як проксі , але не віриться, вже його нема а день за днем .... то одну сторінку, то іншу .... так що аж сервер не витримує ..

дякую за розяснення .

тепер питання як від цього вберегтися

PAL · « **Відповідей #8 :** 2007-07-06 21:10:33 »

Взагалі - ніяк. бо немає достатнього критерію. апач сам відбиває, НМД вже досить.
А чим заважає?

Якщо дуже-дуже часто, що аж на DoS схоже - файрволом його... (за допомогою iptables можна регулювати, як часто з одної адреси можна звертатися до порту)

А так - воно завжди буде, по це роботи з заражених машин.

Linux.org.ua

Автор Гілка: допомога по access.log (Прочитано 2373 раз)

Volodymyrko

допомога по access.log

Praporshic

Re: допомога по access.log

anatolijd

Re: допомога по access.log

anatolijd

Re: допомога по access.log

DalekiyObriy

Re: допомога по access.log

anatolijd

Re: допомога по access.log

PAL

Re: допомога по access.log

Volodymyrko

Re: допомога по access.log

PAL

Re: допомога по access.log