auf meinem webserver finde ich in den apache-logfiles:
[Wed Jan 09 16:29:10.660069 2019] [:error] [pid 11705] [client 66.249.66.66:39066] script '/var/www/fairtragen/7327991037366506690.php' not found or unable to stat
[Wed Jan 09 16:31:33.649479 2019] [:error] [pid 11793] [client 66.249.66.64:61571] script '/var/www/fairtragen/8760165737201568839.php' not found or unable to stat
Ich habe versucht, diese Anfragen (an nicht vorhandene PHP-Dateien) mit fail2ban zu blockieren. Aber die IP-Adressen stammen von einem Google Bot. Ich denke, jemand versucht, einen DDOS-Reflection-Angriff gegen Google vorzubereiten. Kann ich diese Anfragen blockieren, ohne den echten Google-Bot zu blockieren?
2
"Versuch, einen DDOS-Reflection-Angriff gegen Google vorzubereiten." - Entschuldigung, aber was? Bitte erläutern Sie. Google Bot greift möglicherweise auf nicht vorhandene Seiten zu, wenn von einer anderen Stelle darauf verwiesen wird. Dies ist jedoch im Allgemeinen harmlos.
—
Daniel B
Hallo Daniel, ich erhalte diese Anfragen sehr häufig (ungefähr alle 20 Sekunden) und seit vielen Tagen. Ich hatte noch nie eine PHP-Datei mit ähnlichen Namen. Welchen anderen Zweck könnte jemand haben, um meinen Server mit einer gefälschten IP zu scannen?
—
Leon
Sie können IP-Adressen im Internet nicht wirklich fälschen. Wenn Sie dies tun, können Sie keine Antwort erhalten. Das ist wirklich Google.
—
Daniel B
Für einen DDos Reflection-Angriff benötigen Sie keine Antwort. Die Antwort wird an Google gesendet. Wenn sie von zu vielen Servern stammt, tritt ein Problem auf.
—
Leon
Das Wesentliche an Daniels Kommentar ist immer noch wahr: Jemand, der seine IP-Adresse fälscht, kann die erste TCP-SYN-ACK-Antwort nicht erhalten . ohne das konnten sie die TCP-Verbindung nicht herstellen; Andernfalls könnten sie diese HTTP-Anforderung überhaupt nicht senden.
—
Grawity