我们的服务器昨天崩溃了,这是一年来第一次崩溃。所以我检查了日志,发现了一些奇怪的事情。有一个 IP 在 12 分钟内发出了大约 450 个单独的站点请求。我们经营一家网上商店……所以访问 450 个网站似乎不是正常的人类行为。我可以将此视为 DDoS 吗?或者这里发生了什么?
如此多的请求导致我们的服务器崩溃并出现此错误消息
upstream prematurely closed connection while reading response header from upstream
以下是两个日志文件的一些摘录:
编辑1:
这看起来也很有趣......
位置/主机名
80.87.117.22
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36 Edge/17.17134
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/601.7.7 (KHTML, like Gecko) Version/9.1.2 Safari/601.7.7
Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; http://www.google.com/bot.html) Safari/537.36
Mozilla/5.0 (compatible; Googlebot/2.1; startmebot/1.0; https://start.me/bot)
Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Mwendo/1.1.5 Safari/537.21
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
来自波兰的问候!
答案1
不,根据定义,DDoS 意味着分散式.... 因此,涉及的 IP 远不止一个。对于您的情况,您可以(最终)将其命名为 DoS(拒绝服务)。
但是,12 分钟(720 秒)内有 450 个请求,每秒请求数不足 1 个。这些请求包括图片、cssiframe 等。所以对我来说,这不能算作 DoS 攻击。想想每秒有数百次或更多次(甚至更多)的 DoS 或 DDoS 攻击
可能该用户的浏览器已经激活了某种预取功能,以提前下载当前加载页面的兄弟页面,从而加快用户点击当前页面上的链接时的体验。