我想知道是否有其他人见过与我帮助管理的网站类似的现象。在过去的两周左右,我们每天大约会从单个 IP 收到数千到数万个请求 10-15 次。
这些 IP 来自世界各地,大部分来自美国。它们都使用 Firefox 修订版 52。
以下是我们日志中的一个示例:
[06/Apr/2017:11:58:10 -0500] XXX.XXX.XXX.XXX - - "GET / HTTP/1.1" 403 173 "[URL]" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"
所有这些实例的共同部分是:“WOW64; rv:52.0) Gecko/20100101 Firefox/52.0”。有时操作系统会有所不同。
我们每秒收到大约 8-10 个请求,然后它通常会停止(在我们的速率限制器给出错误之后,它还会继续很长时间)。我曾看到它一次发出多达 350,000 个请求。
一开始我以为是僵尸网络,因为它到处都出现。但你会认为他们会进行更有针对性的攻击。
然后我深入研究后发现,这些访问者有时会浏览网站、点击文章或阅读论坛,然后就会发出疯狂的请求。这些特定的 URI 没有任何共同之处。
我在我们的数据库中查找了其中一些攻击的 IP,其中一些甚至是合法的社区贡献者。
我的假设是,这是由浏览器扩展程序与 Firefox 52 不兼容而导致的,因为这种情况只发生在此版本中。流量似乎不是恶意的。
我想知道是否有人看到了熟悉的“攻击”,或者是否有人知道其原因。
答案1
我怀疑您看到了此 Firefox 错误的症状: 缓存的 iframe 执行先前加载和动态插入的脚本,在“onload”事件之前进行网络调用。
这会影响 iframe 中的网站。该网站是否使用 iframe,或者它是否是诈骗者可能嵌入 iframe 中的热门网站?
以下是来自该错误的一条评论:
我在 AdTech 公司工作,在 Firefox 52 之后,我们注意到来自 Firefox 浏览器的广告请求增加了(大约 5 倍),但我们的脚本能够跟踪的实际广告数量保持不变。
修复已经出来了,但我预计一段时间内仍会有很多未修复的浏览器。
查看您提供的用户代理,它似乎没有提供细粒度的补丁级别,因此在服务器端阻止这些补丁会相当困难。