Ddos

來自 Firefox 修訂版 52(最新)的最初合法使用者的 DDOS 樣式請求——導致它的副檔名?

  • April 9, 2017

我想知道是否有其他人看到過與我幫助管理的網站所遇到的類似現象。在過去的兩週左右,每天大約 10-15 次,我們將收到來自單個 IP 的數千到數万個請求。

這些 IP 來自世界各地,主要是美國。他們都使用 Firefox 修訂版 52。

這是我們日誌中的一個範例:

[06/Apr/2017:11:58:10 -0500] XXX.XXX.XXX.XXX - - "GET / HTTP/1.1" 403 173 "[URL]" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"

所有這些實例的共同部分是:“WOW64; rv:52.0) Gecko/20100101 Firefox/52.0”。有時作業系統是不同的。

我們每秒收到大約 8-10 個請求,然後它通常會停止(在我們的速率限制器給它們錯誤之後很長時間它會繼續)。我已經看到它一次發出多達 350,000 個請求。

起初我以為它來自殭屍網路,因為它不斷出現。但你會認為他們會進行更協調的攻擊。

然後我深入研究並意識到有時這些訪問者會瀏覽網站、點擊文章或閱讀論壇,然後就會發生瘋狂的請求。特定的 URI 沒有任何共同之處。

我在我們的數據庫中查找了其中一些攻擊的 IP,有些甚至是合法的社區貢獻者。

我的假設是,這是由於瀏覽器擴展在某種程度上與 Firefox 52 不兼容,因為它只發生在這個版本中。流量似乎沒有惡意。

我想知道是否有人看到熟悉的“攻擊”,或者是否有人知道原因。

我懷疑您看到了這個 Firefox 錯誤的症狀: 記憶體 iframe 執行先前載入和動態插入的腳本,在“onload”事件之前進行網路呼叫。

這會影響 iframe 中的網站。該網站是否使用 iframe,還是詐騙者可能已將其嵌入 iframe 的流行網站?

以下是該錯誤的評論:

我在 AdTech 公司工作,在 Firefox 52 之後,我們注意到來自 Firefox 瀏覽器的廣告請求增加(大約 5 倍),但我們的腳本能夠跟踪的實際廣告數量保持不變。

修復已經結束,但我預計一段時間內會有很多未打更新檔的瀏覽器。

查看您提供的使用者代理,它似乎沒有提供細粒度的更新檔級別,因此很難在伺服器端阻止這些。

引用自:https://serverfault.com/questions/843079