Le 9 juin 14 à 13:32, Daniel Caillibaud a écrit : PG> Pour ce qui est des 400, de certaines 404 et 403, je pense que tu PG> peux t'inspirer de ça: PG> PG> Je vais d'ailleurs le faire moi-même, parce que j'ai plein de PG> requêtes avec cette chaîne :
En quoi c'est gênant ?
Répondre à ce genre de requete avec une 404 coûtera bcp moins de ressources qu'une règle iptables qui va analyser tous les paquets http.
Ah, bon ? Je veux bien le croire, mais ça demande à être confirmé. Parce que si ce n'est pas iptables qui analyse les paquets, c'est le serveur virtuel qui va le faire ensuite, non ? Donc le résultat serait identique au niveau du temps d'attente, non ?
Si vraiment ça dérange, ajouter une règle nginx (location ~ w00tw00t) pour écrire l'ip dans un fichier tmp (sans passer par du php, avec echo dans nginx) et une tâche cron qui récupère les listes pour les blacklister avec iptables et les recopier ailleurs pour les enlever au prochain passage me parait plus efficace, mais j'ai jamais pris la peine de le faire malgré des milliers de requetes comme ça par jour.
Oui, ça me parait une bonne idée. Comment comparer la vitesse d'exécution des 2 règles ?
Même chose pour la dernière règle de la page, lancer une regex plus un algo pour les paquets qui match me parait un gaspillage important, mieux vaudrait créer un vhost par défaut monde qui arrive là (faudrait être sûr que les googlebot & co lancent jamais ces requetes, pas étudié la question car me sens pas concerné avec un varnish en frontal).
C'est déjà le cas chez moi. Je ne crois pas que les crawlers s'intéressent aux IP, je ne l'ai jamais remarqué. Mais ça pourrait venir, on ne sait jamais…
J'ai l'impression que ce genre de "protection" ne protège que des scripts kiddies assez inoffensifs, les vrais méchants sont pas assez stupides pour se faire repérer avec des attaques aussi connues.
Je suis complètement d'accord avec cette assertion. Le problème, c'est que les script kiddies sont très gourmands, et vraiment très envahissants.
J'aimerais bien réserver l'accès de mon serveur à des utilisateurs légitimes, car il est tout petit, pas très costaud, donc le compromis est difficile à trouver entre une certaine tolérance avec les bots, et une discrimination rigoureuse…
Ph. Gras
-- Daniel
On croit mourir pour la patrie; on meurt pour des industriels. Anatole France
-- Lisez la FAQ de la liste avant de poser une question :
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
|