Des accès qui s’apparentent à des attaques DDoS
3 avril 2017
En parcourant ce matin les journaux d’activité de mon serveur Apache, j’ai vu que j’avais eu droit à près de 4669 requêtes en l’espace de 2 heures, soit 1 requête toutes les 2 secondes, de la part de machines estampillées ec2-54-xxx-xxx-xxx.compute-1.amazonaws.com. J’ai donc décidé de les bloquer, du fait du trafic parasite qu’elles génèrent, en ajoutant à l’un de mes fichiers de configuration de mon serveur Apache :
RewriteCond %{REMOTE_HOST} ^ec2-54-[0-9]{1,3}-[0-9]{1,3}-[0-9]{1,3}(\.us-west-1)?\.compute(-1)?\.amazonaws\.com$ [NC,OR]
RewriteRule ".*" "%{HTTP_HOST}/index.html" [QSA,R=302,L]
J’évite, désormais, de passer par Iptables, en faisant le choix de renvoyer vers une page statique afin de minimiser la consommation de ressources.
Malgré mes recherches DNS et Whois, je ne suis pas parvenu à savoir ce que ces machines hébergaient ! Quant à leur User Agent et leur Referrer, il n’est jamais le même. Ça sert aussi à ça le Web Analytics et Awstats.
