我的网站收到了很多来自 Google 服务器的 POST 请求。这些请求不时发出,从未停止。
35.196.208.182 - - [18/Nov/2019:04:39:21 -0700] "POST /?wc-ajax=get_variation HTTP/1.1" 200 689 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"
cat /var/log/nginx/*access.log|grep "35.196.208.182"|awk '{print $1}'|wc -l
4110
我屏蔽之前的另一个 IP
cat /var/log/nginx/*access.log|grep "34.73.127.196"|awk '{print $1}'|wc -l
11454
答案1
这是来自使用 Google Cloud Platform 托管的人,而不是任何 Google 机器人。
- Google 机器人在用户代理中拥有 Google,而且看起来不像浏览器。
- Google 机器人在 DNS 中解析为 googlebot.com 或 google.com。这些来自 googleusercontent.com。
打开GCP 滥用报告及其表格。
答案2
由于您提供的信息很少,因此很难回答您的问题。我将解释我在审查流量和决定是否应阻止某个来源时所采取的步骤。这是典型的“什么、谁和何时”类型的分析。
步骤 1:做什么
您了解请求是什么吗?向您的服务器发出请求的频率是多少?此请求是否导致您的服务器或服务出现问题,或者您只是对此感到厌烦?
wc-ajax=get_variation是针对 WooCommerce 的产品变体请求。这可能是也可能不是一个好的请求。这可能只是一个为您的网站索引产品的机器人。您必须决定。
第 2 步:谁
您是否调查过来源是谁?反向 DNS 查找有时会提供有意义的信息。此外,对该 IP 地址执行 curl。如果那里没有网站,则可能是机器人或坏人。
属于 Google 的 IP 地址并不意味着 Google 正在攻击您。Google 为其他公司/个人提供服务。您的服务器是公开的,预计会有来自各种来源的各种 XXX。
此 IP 地址35.196.208.182解析为googleusercontent.com。这意味着 Google 提供的服务。这可能是 Google Cloud,但不是 Google 本身。
步骤 3:时间
这些请求是在一天中的什么时间到达的?频率是多少:每分钟一次,每小时一次,等等?行为良好的机器人不会让您的网站因请求而超载。在您的问题中,您显示了 11,454 个请求。这似乎很高(就像坏机器人一样),但您没有显示这些请求的时间段。
建议
您的服务器是公开的。屏蔽 IP 地址会让您抓狂不已。黑客和恶意机器人会频繁更改其 IP 地址或服务位置。这意味着您今天屏蔽的 IP 地址可能明天或下个月就会被真正的客户使用。
安装智能 WAF(防火墙),自动检测并阻止此类流量。将阻止持续时间设置为较短,例如 XX 请求到达后的 24 小时内、5 分钟内或 8 小时内,或您决定的时间。