Mehrere hundert Zugriffe von 1 IP in kurzer Zeit

[nomic]

Ich hatte gestern innerhalb weniger Sekunden mehrere hundert Zugriffe auf meine Internetseite von derselben IP. Das Problem ist nun, dass jedesmal ein anderer Client erkannt wurde und ich die "max. connections" der MySQL-Datenbank hochschrauben musste. Denn sonst würde wieder der "too many connections"-Fehler auftreten.

Meine Fragen sind:
1. Kann ich dies irgendwie vermeiden oder blocken?
2. Ist sowas strafbar?

Ich könnte die "max. connections" der DB natürlich noch höher setzen, aber was macht das für einen Sinn? Außerdem verursacht das auch ganz schön Traffic.

[captaincrunch]

Ich gehe jetzt einfach mal davon aus, dass du Zugriffe auf deinen Webserver-Daemon meinst.
In dem Fall könntest du ganz simpel durch eine deny from IP-Konfiguration im Apachen die IP sperren.

Der Traffic, der dadurch entsteht bleibt allerdings weiterhin enthalten (OK, nicht ganz, da dein Server keine Antwort mehr rausjagt). Den könntest du nur dadurch unterdrücken, indem du die IP auf dem Router vor deinem Server sperren könntest.

[nomic]

Ist es möglich, max. X Verbindungen in Y Sekunden von einer IP zuzulassen?

[dodolin]

Ist es möglich, max. X Verbindungen in Y Sekunden von einer IP zuzulassen?

Mit netfilter/iptables (-m limit) nicht. Eventuell kann man da auf Apache-Ebene was machen.

Aber: Sagt dir das Wort HTTP-Proxy(-Cache) was?
Wieviele Verbindungen darf z.B. der Zwangsproxy von Freenet machen, wieviele die Proxies der DTAG und deren Resellern (T-Online, 1&1, ...)?

[Anonymous]

mehrere hundert in ein paar sekunden sieht doch nach DOS aus
IMHO gibt es dafuer Iptables rules

Karlo

[captaincrunch]

IMHO gibt es dafuer Iptables rules

Der Traffic passiert trotzdem den Router vor dem Server, und wir so gezählt ... ;)

[dodolin]

IMHO gibt es dafuer Iptables rules

Dann nenne sie doch mal, bitte.

Auch wenn iptables neuerdings stateful ist, kann es nur *Pakete* matchen, keine *Verbindungen*.
Man kann z.B. SYN Pakete limitieren, begrenzt damit aber nur neu aufgebaute Verbindungen.
Das bringt nur teilweise was und ist nicht das, was nomic gewünscht hat:

Ist es möglich, max. X Verbindungen in Y Sekunden von einer IP zuzulassen?

AFAIK ist das so nicht möglich.
Wer das Gegenteil behaupten möchte, soll bitte Nachweise erbringen, denn das würde mich sehr interessieren.

[floschi]

Ich hatte da auch mal, das eine mir völlig unbekannte IP einer österreichischen Firma innerhalb von 3 Minuten ca. 13000 meine statische Domainausfallseite aufgerufen hat... *g*

Ich hab den webmaster angeschrieben, der wollte dann das entsprechende Serverlog und hat sich drum gekümmert - war wohl ein Fehler ;)

[v00dy]

man kann mit einem kernel patch via iptables ips limitieren.
so das z.b. nur 10 verbindungen pro ip zum apache aufgebaut werden dürfen.
ich habe das ding seit ca. 3-4 monaten im einsatz und es funktioniert ganz gut.

http://www.netfilter.org/documentation/ ... #connlimit