গত কয়েক দিন আমি লক্ষ্য করেছি যে কিছু সার্ভার অজানা অনুরোধে হামার করা হয়েছে।

তাদের বেশিরভাগ নিম্নলিখিতগুলির মতো:

60.246.*.* - - [03/Jan/2015:20:59:16 +0200] "GET /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1 HTTP/1.1" 200 -

কিছুটা লগইন এবং অনুসন্ধানের পরে আমি জানতে পেরেছিলাম যে কিছু চীনা আইএসপি (সম্ভবত হোয়াইটমাইডএনএস ডটকমের ফলাফল অনুসারে সেরনেট) এবং কিছু তুর্কি আইএসপি (সম্ভবত টিটিএনট) a.tracker.thepiratebay.orgবিভিন্ন আইপি যেমন পাইরেটবেয়ের সাথে কিছু করার নেই বলে সাড়া দেয় বা টরেন্টস অন্য কথায় তারা কিছু উদ্ভট কারণে কোনও প্রকারের ডিএনএস ক্যাশে পয়জনিং করছে বলে মনে হচ্ছে।

সুতরাং সেসব দেশে শত শত (হাজারে না হলেও) ক্লায়েন্টরা আমার ওয়েবসার্সগুলিকে প্রচুর 'ঘোষণা' দেয় যা ফলস্বরূপ একটি ডিডোস আক্রমণে সমস্ত অ্যাপাচের সংযোগ পূরণ করে much

এই মুহুর্তে আমি চীন এবং তুরস্ককে পুরোপুরি অবরুদ্ধ করেছি এবং এটি কাজটি করে তবে আমি এই অনুরোধগুলি ব্লক করার আরও ভাল উপায় খুঁজে পেতে চাই।

আমি এইচটিটিপি হোস্ট শিরোনামের ভিত্তিতে মোড_সিকিউরিটি দিয়ে সেই অনুরোধগুলি অবরুদ্ধ করার কথা ভাবছিলাম।

এই সমস্ত অনুরোধগুলির মধ্যে একটি HTTP হোস্ট শিরোনাম অন্তর্ভুক্ত রয়েছে a.tracker.thepiratebay.org(বা thepiratebay.org ডোমেনের অনেকগুলি সাবডোমেন)।

এখানে পিএইচপি এর $_SERVERভেরিয়েবলের মাধ্যমে অনুরোধ শিরোনামগুলির একটি ডাম্প ।

DOCUMENT_ROOT: /usr/local/apache/htdocs
GATEWAY_INTERFACE: CGI/1.1
HTTP_ACCEPT_ENCODING: gzip
HTTP_CONNECTION: Close
HTTP_HOST: a.tracker.thepiratebay.org
HTTP_USER_AGENT: uTorrent/342(109415286)(35702)
PATH: /bin:/usr/bin
QUERY_STRING: info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1
REDIRECT_STATUS: 200
REMOTE_ADDR: 60.246.*.*
REMOTE_PORT: 3445
REQUEST_METHOD: GET
REQUEST_URI: /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1
SCRIPT_FILENAME: /usr/local/apache/htdocs/announce.php
SCRIPT_NAME: /announce.php
SERVER_ADDR: *.*.*.*
SERVER_ADMIN: *@*.*
SERVER_NAME: a.tracker.thepiratebay.org
SERVER_PORT: 80
SERVER_PROTOCOL: HTTP/1.1
SERVER_SIGNATURE: 
SERVER_SOFTWARE: Apache/2.2.29 (Unix) mod_ssl/2.2.29 OpenSSL/1.0.1e-fips mod_bwlimited/1.4 mod_perl/2.0.8 Perl/v5.10.1
UNIQUE_ID: VKg8BJBMIPQAD01XYzgAAAAD
PHP_SELF: /announce.php
REQUEST_TIME_FLOAT: 1420311556.43
REQUEST_TIME: 1420311556
argv: Array
argc: 1

সুতরাং আমার প্রশ্নটি হল, আমি কীভাবে অনুরোধ ডোমেনের (এইচটিটিপি হোস্ট শিরোলেখ) উপর ভিত্তি করে অ্যাপাচে আগত অনুরোধগুলি ব্লক করতে পারি? মনে রাখবেন যে অনুরোধগুলি বিভিন্ন ইউআরএলগুলিতে কেবল / নানানউন.পিএপি নয় তাই ইউআরএল দ্বারা ব্লক করা কার্যকর নয়।

এছাড়াও কি এই পদ্ধতির ব্যবহারযোগ্য বা এটি খুব বেশি বোঝা সৃষ্টি করবে এবং এ্যাপাচিগুলি পৌঁছে দেওয়ার আগে আমার সেই অনুরোধগুলি বাদ দেওয়া উচিত?

হালনাগাদ:

দেখা যাচ্ছে যে এই সমস্যাটি বিশ্বের অনেক দেশেই বহু লোককে প্রভাবিত করেছে।
এটি সম্পর্কে প্রচুর প্রতিবেদন এবং ব্লগপোস্ট রয়েছে এবং এই ট্র্যাফিকটি ব্লক করার জন্য বিভিন্ন সমাধান রয়েছে।

এটিকে ব্লক করার সমাধান অনুসন্ধান করতে এখানে আসা যে কেউ সহায়তা করতে আমি কয়েকটি প্রতিবেদন সংগ্রহ করেছি।

রহস্যময় ভুল পথে চালিত চীনা ট্র্যাফিক: কীভাবে ডিএনএস সার্ভারটি এইচটিটিপি অনুরোধ ব্যবহার করেছে তা আমি কীভাবে জানতে পারি?
অদ্ভুত বিটোরেন্ট লগ অন আমার সার্ভার
http://blog.devops.co.il/post/108740168304/torrent-ddos-attack
https://www.webhostingtalk.com/showthread.php?t=1443734
http: // torrentfreak। com / জম্বি-জলদস্যু-বে-ট্র্যাকার-জ্বালানী-চাইনিজ-ডিডোস-আক্রমন-150124 /
https://isc.sans.edu/forums/diary/Are+ You+Piratebay+thepiratebayorg+ রিসোলভিং + ++ বিভিন্ন +++++ 19175 /
http://furbo.org/2015/01/22/fear-china/
http://www.jwz.org/blog/2015/01/chines-bittorrent-the-gift-that-keeps-on- দান /

একই সমস্যা এখানে। আমি ব্যবহারকারীর এজেন্টকে ব্লক করতে মোড_সিকিউরিটি ব্যবহার করছি

SecRule REQUEST_HEADERS:User-Agent "Bittorrent" "id:10000002,rev:1,severity:2,log,msg:'Bittorrent Hit Detected'"

আপনি লগটি আপনার লগ ফাইলটি পূরণ করা এড়াতে কাজ করছে তা যাচাই করার পরে আমি নোলজে পরিবর্তন করব

SecRule REQUEST_HEADERS:User-Agent "Bittorrent" "id:10000002,rev:1,severity:2,nolog,msg:'Bittorrent Hit Detected'"

আমরা আমাদের ক্লায়েন্টের কোনও একটি সাইটের সাথে ঠিক একই সমস্যাটি অনুভব করছি। আমি তাদের উপরে শীর্ষগুলি যোগ করেছি:

# Drop Bittorrent agent 2015-01-05 before redirect to https
<IfModule mod_rewrite.c>
    RewriteEngine on
    # RewriteCond %{HTTP_USER_AGENT} =Bittorrent
    RewriteRule ^/announce$ - [F]
    RewriteRule ^/announce\.php$ - [F]
</IfModule>

মন্তব্য-আউট RewritCond শুধুমাত্র একটি নির্দিষ্ট ব্যবহারকারী এজেন্ট ব্লক করতে uncommented হতে পারে। তবে তাদের ঘোষণাপত্র বা ঘোষণাপত্রের কোনও বিষয়বস্তু নেই ph php তাই আমরা কেবল এটি সমস্তকে অবরুদ্ধ করেছি।

আমার সার্ভারে টরেন্ট ট্র্যাকার পয়েন্ট রেখে আমার এই মুহুর্তে একই সমস্যা হচ্ছে। আমি গত দু'দিন ধরে আইপটবেলগুলি পরীক্ষা করে দেখেছি এবং অনুরোধগুলির শিরোনাম এবং নিদর্শনগুলি পরীক্ষা করেছি এবং এটিকে কয়েকটি iptables বিধিগুলিতে সংকুচিত করেছি যা এশিয়া থেকে সাম্প্রতিক আপাতদৃষ্টিতে দূষিত ট্র্যাফিকের বেশ কয়েকটি ফিল্টার করে (চীন, মালয়েশিয়া, জাপান এবং হংকং).

নীচে বিধি রয়েছে। আশা করি এটি কাউকে সাহায্য করবে।

iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "Bittorrent" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "spider" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "announce" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "deviantart" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "Bittorrent" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "baidu" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "Baiduspider" --to 1000 -j REJECT

আমি কীভাবে সঠিকভাবে বিটোরেন্ট ক্লায়েন্টকে যেতে যেতে এবং কখনই ফিরে আসতে চাই না, ড্যানের মতো, তবে এনজিনেক্স ব্যবহার করে একটি ব্লগ পোস্ট লিখেছিলাম।

server {
    location /announc {
        access_log off;
        error_log off;
        default_type text/plain;
        return 410 "d14:failure reason13:not a tracker8:retry in5:nevere";
    }
}

টরেন্ট ট্র্যাকারদের (সাধারণত) একটি স্ট্যান্ডার্ড ইউআরএল থাকে যা দিয়ে শুরু হয় /announceবা /scrapeতাই, আমি এত তাড়াতাড়ি ইউআরএল দ্বারা ফিল্টারিংকে বরখাস্ত করব না। এটা কাজ করে।

সম্পূর্ণ পোস্টটি হ'ল - http://dvps.me/ddos-attack-by-torrent

আমি চাইনিজ আইপি রেঞ্জগুলি থেকে: http://www.wizcrafts.net/chinese- blocklist.html এনেছি এবং সেগুলি আমার সিএসএফ ফায়ারওয়ালে ব্লক করেছি, আপনি সিএসএফের অস্বীকৃত আইপি তালিকায় অনুলিপি করতে এবং পেস্ট করতে চান এমন সীমা এখানে রয়েছে is :

#china blocks start
1.80.0.0/13
1.92.0.0/14
1.192.0.0/13
1.202.0.0/15
1.204.0.0/14
14.144.0.0/12
14.208.0.0/12
23.80.54.0/24
23.104.141.0/24
23.105.14.0/24
27.8.0.0/13
27.16.0.0/12
27.36.0.0/14
27.40.0.0/13
27.50.128.0/17
27.54.192.0/18
27.106.128.0/18
27.115.0.0/17
27.148.0.0/14
27.152.0.0/13
27.184.0.0/13
36.32.0.0/14
36.248.0.0/14
42.96.128.0/17
42.120.0.0/15
58.16.0.0/15
58.20.0.0/16
58.21.0.0/16
58.22.0.0/15
58.34.0.0/16
58.37.0.0/16
58.38.0.0/16
58.40.0.0/16
58.42.0.0/16
58.44.0.0/14
58.48.0.0/13
58.56.0.0/15
58.58.0.0/16
58.59.0.0/17
58.60.0.0/14
58.68.128.0/17
58.82.0.0/15
58.100.0.0/15
58.208.0.0/12
58.242.0.0/15
58.246.0.0/15
58.248.0.0/13
59.32.0.0/12
59.51.0.0/16
59.52.0.0/14
59.56.0.0/13
59.72.0.0/16
59.108.0.0/15
59.172.0.0/14
60.0.0.0/13
60.11.0.0/16
60.12.0.0/16
60.24.0.0/13
60.160.0.0/11
60.194.0.0/15
60.208.0.0/13
60.216.0.0/15
60.220.0.0/14
61.4.64.0/20
61.4.80.0/22
61.4.176.0/20
61.48.0.0/13
61.128.0.0/10
61.135.0.0/16
61.136.0.0/18
61.139.0.0/16
61.145.73.208/28
61.147.0.0/16
61.150.0.0/16
61.152.0.0/16
61.154.0.0/16
61.160.0.0/16
61.162.0.0/15
61.164.0.0/16
61.175.0.0/16
61.177.0.0/16
61.179.0.0/16
61.183.0.0/16
61.184.0.0/16
61.185.219.232/29
61.187.0.0/16
61.188.0.0/16
61.232.0.0/14
61.236.0.0/15
61.240.0.0/14
101.64.0.0/13
101.72.0.0/14
101.76.0.0/15
101.80.0.0/12
103.253.4.0/22
106.112.0.0/13
110.6.0.0/15
110.51.0.0/16
110.52.0.0/15
110.80.0.0/13
110.88.0.0/14
110.96.0.0/11
110.173.0.0/19
110.173.32.0/20
110.173.64.0/18
110.192.0.0/11
110.240.0.0/12
111.0.0.0/10
111.72.0.0/13
111.121.0.0/16
111.128.0.0/11
111.160.0.0/13
111.172.0.0/14
111.176.0.0/13
111.228.0.0/14
112.0.0.0/10
112.64.0.0/14
112.80.0.0/12
112.100.0.0/14
112.111.0.0/16
112.122.0.0/15
112.224.0.0/11
113.0.0.0/13
113.8.0.0/15
113.12.0.0/14
113.16.0.0/15
113.18.0.0/16
113.62.0.0/15
113.64.0.0/10
113.128.0.0/15
113.136.0.0/13
113.194.0.0/15
113.204.0.0/14
114.28.0.0/16
114.80.0.0/12
114.96.0.0/13
114.104.0.0/14
114.112.0.0/14
112.109.128.0/17
114.216.0.0/13
114.224.0.0/11
115.24.0.0/15
115.28.0.0/15
115.32.0.0/14
115.48.0.0/12
115.84.0.0/18
115.100.0.0/15
115.148.0.0/14
115.152.0.0/15
115.168.0.0/14
115.212.0.0/16
115.230.0.0/16
115.236.96.0/23
115.236.136.0/22
115.239.228.0/22
116.1.0.0/16
116.2.0.0/15
116.4.0.0/14
116.8.0.0/14
116.16.0.0/12
116.52.0.0/14
116.76.0.0/15
116.90.80.0/20
116.112.0.0/14
116.128.0.0/10
116.204.0.0/15
116.208.0.0/14
116.224.0.0/12
116.254.128.0/18
117.8.0.0/13
117.21.0.0/16
117.22.0.0/15
117.24.0.0/13
117.32.0.0/13
117.40.0.0/14
117.44.0.0/15
117.60.0.0/14
117.79.224.0/20
117.80.0.0/12
117.136.0.0/13
118.26.0.0/16
118.72.0.0/13
118.112.0.0/13
118.120.0.0/14
118.132.0.0/14
118.144.0.0/14
118.180.0.0/14
118.186.0.0/15
118.192.0.0/15
118.248.0.0/13
119.0.0.0/13
119.8.0.0/16
119.10.0.0/17
119.18.192.0/20
119.36.0.0/16
119.57.0.0/16
119.60.0.0/16
119.88.0.0/14
119.96.0.0/13
119.112.0.0/13
119.120.0.0/13
119.128.0.0/12
119.144.0.0/14
119.164.0.0/14
119.176.0.0/12
119.233.0.0/16
120.0.0.0/12
120.24.0.0/14
120.32.0.0/13
120.40.0.0/14
120.68.0.0/14
120.80.0.0/13
120.192.0.0/10
121.0.16.0/20
121.8.0.0/13
121.16.0.0/12
121.32.0.0/14
121.60.0.0/14
121.76.0.0/15
121.196.0.0/14
121.204.0.0/14
121.224.0.0/12
122.10.128.0/17
122.51.128.0/17
122.64.0.0/11
122.119.0.0/16
122.136.0.0/13
122.156.0.0/14
122.188.0.0/14
122.192.0.0/14
122.198.0.0/16
122.200.64.0/18
122.224.0.0/12
123.4.0.0/14
123.8.0.0/13
123.52.0.0/14
123.64.0.0/11
123.97.128.0/17
123.100.0.0/19
123.112.0.0/12
123.128.0.0/13
123.138.0.0/15
123.150.0.0/15
123.152.0.0/13
123.164.0.0/14
123.180.0.0/14
123.184.0.0/14
123.196.0.0/15
123.232.0.0/14
123.249.0.0/16
124.42.64.0/18
124.64.0.0/15
124.67.0.0/16
124.73.0.0/16
124.114.0.0/15
124.126.0.0/15
124.128.0.0/13
124.160.0.0/15
124.162.0.0/16
124.163.0.0/16
124.192.0.0/15
124.200.0.0/13
124.226.0.0/15
124.228.0.0/14
124.236.0.0/14
124.240.0.0/17
124.240.128.0/18
124.248.0.0/17
125.36.0.0/14
125.40.0.0/13
125.64.0.0/12
125.79.0.0/16
125.80.0.0/13
125.88.0.0/13
125.104.0.0/13
125.112.0.0/12
125.210.0.0/15
140.224.0.0/16
140.237.0.0/16
140.246.0.0/16
140.249.0.0/16
142.4.117.0/30
159.226.0.0/16
171.34.0.0/15
171.36.0.0/14
171.40.0.0/13
175.0.0.0/12
175.16.0.0/13
175.24.0.0/14
175.30.0.0/15
175.42.0.0/15
175.44.0.0/16
175.46.0.0/15
175.48.0.0/12
175.64.0.0/11
175.102.0.0/16
175.106.128.0/17
175.146.0.0/15
175.148.0.0/14
175.152.0.0/14
175.160.0.0/12
175.178.0.0/16
175.184.128.0/18
175.185.0.0/16
175.186.0.0/15
175.188.0.0/14
180.76.0.0/16
180.96.0.0/11
180.136.0.0/13
180.152.0.0/13
180.208.0.0/15
182.18.0.0/17
182.32.0.0/12
182.88.0.0/14
182.112.0.0/12
182.128.0.0/12
183.0.0.0/10
183.64.0.0/13
183.129.0.0/16
183.148.0.0/16
183.160.0.0/12
183.184.0.0/13
183.192.0.0/11
192.34.109.224/28
192.74.224.0/19
198.2.203.64/28
198.2.212.160/28
202.43.144.0/22
202.46.32.0/19
202.66.0.0/16
202.75.208.0/20
202.96.0.0/12
202.111.160.0/19
202.112.0.0/14
202.117.0.0/16
202.165.176.0/20
202.196.80.0/20
203.69.0.0/16
203.86.0.0/18
203.86.64.0/19
203.93.0.0/16
203.169.160.0/19
203.171.224.0/20
210.5.0.0/19
210.14.128.0/19
210.21.0.0/16
210.32.0.0/14
210.51.0.0/16
210.52.0.0/15
210.77.0.0/16
210.192.96.0/19
211.76.96.0/20
211.78.208.0/20
211.86.144.0/20
211.90.0.0/15
211.92.0.0/14
211.96.0.0/13
211.136.0.0/13
211.144.12.0/22
211.144.96.0/19
211.144.160.0/20
211.147.0.0/16
211.152.14.0/24
211.154.64.0/19
211.154.128.0/19
211.155.24.0/22
211.157.32.0/19
211.160.0.0/13
211.233.70.0/24
218.0.0.0/11
218.56.0.0/13
218.64.0.0/11
218.84.0.0/14
218.88.0.0/13
218.96.0.0/14
218.102.0.0/16
218.104.0.0/14
218.108.0.0/15
218.194.80.0/20
218.200.0.0/13
218.240.0.0/13
219.128.0.0/11
219.154.0.0/15
219.223.192.0/18
219.232.0.0/16
219.234.80.0/20
219.235.0.0/16
220.112.0.0/16
220.154.0.0/15
220.160.0.0/11
220.181.0.0/16
220.191.0.0/16
220.192.0.0/12
220.228.70.0/24
220.242.0.0/15
220.248.0.0/14
220.250.0.0/19
220.252.0.0/16
221.0.0.0/12
221.122.0.0/15
221.176.0.0/13
221.192.0.0/14
221.200.0.0/14
221.204.0.0/15
221.206.0.0/16
221.207.0.0/16
221.208.0.0/12
221.212.0.0/15
221.214.0.0/15
221.216.0.0/13
221.224.0.0/13
221.228.0.0/14
221.232.0.0/13
222.32.0.0/11
222.64.0.0/12
222.80.0.0/12
222.132.0.0/14
222.136.0.0/13
222.168.0.0/13
222.172.222.0/24
222.176.0.0/13
222.184.0.0/13
222.200.0.0/16
222.208.0.0/13
222.219.0.0/16
222.220.0.0/15
222.240.0.0/13
223.4.0.0/14
223.64.0.0/11
223.144.0.0/12
223.240.0.0/13
#china blocks end