В моем файле access.log я нашел сотни строк пустого запроса как это
mydomain.com:80 [ip-address] - - [02/Jul/2014:09:11:20 -0500] "GET / HTTP/1.0" 200 25491 "-" "-"
mydomain.com:80 [ip-address] - - [02/Jul/2014:09:11:24 -0500] "GET / HTTP/1.0" 200 25491 "-" "-"
mydomain.com:80 [ip-address] - - [02/Jul/2014:09:11:24 -0500] "GET / HTTP/1.0" 200 25491 "-" "-"
mydomain.com:80 [ip-address] - - [02/Jul/2014:09:11:20 -0500] "GET / HTTP/1.0" 200 25491 "-" "-"
Они все прибытие из того же IP-адреса, и иногда это - приблизительно 3-5 запросов в секунду.
Я читал из этого ответа https://serverfault.com/a/386136/210624 это
Другими словами, это было, вероятно, кем-то открытие и закрытие соединения против порта 80, не отправляя или получая любые данные.
но в отличие от этого в том вопросе в моем случае код ответа 200,
qsn1: какое число 25491
средства в этом случае?
qsn2: может это быть DoS-атакой, потому что в течение того времени я видел в своей статистике VPS, что существует высокое использование ЦП.
qsn3: я могу предотвратить так или иначе этот вид запросов? скажите, заблокируйте IP-адрес с помощью fail2ban или некоторым другим путем?
Спасибо
обновление: Я просто рассчитал, в течение 20 минут, у меня есть ~ 8 000 хитов из того же (и только что) IP-адрес, все строки как показанный выше
1: 25491 - размер, в байтах, ответа, возвращенного вашим сервером.
2: Учитывая описание, это может быть некая форма низкоуровневого DoS. Вероятно, это 'бот.
3: fail2ban - хорошая идея. Вы могли бы настроить фильтр-регекс по этим линиям (непроверенным!):
\[<HOST>\] - - \[.*\] "GET / HTTP/1.[01]" 200 \d+ "-" "-"
Затем посадить его в тюрьму с макс. попыткой 100 и временем нахождения 60 лет, скажем.
.