Netstat: как узнать, человек это или бот / паук / DDOS

Question

Я использую следующую команду, чтобы проверить, сколько подключений у меня к одному ip

netstat -anp |grep ':80' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Если это DDOS-атака (более 500 подключений), ее легко обнаружить.Но у меня все равно есть в любой момент времени 60-100 подключений с одного Ip.Это может быть Человек или что-то вроде ботов / пауков?

Это то, что у меня есть в данный момент (это топ 6).

48 217.212.230.***
54 46.63.105.***
55 62.235.175.***
56 79.235.188.***
60 178.27.93.***
63 31.16.96.***

ЭтоСервер для динамического контента.(Apache2, keepalive выключен)

Answer 1

Возможно, ваша проблема в том, что ваш HTTP-сервер не настроен для поддержки активности активности!Сначала настройте это.

Если вы не настроите keepalive, браузер откроет одно соединение с вашим сервером для каждого элемента на странице .С keepalive он открывает только один для многих элементов в зависимости от того, как настроен ваш keepalive.

Также рассмотрите возможность использования директив кэша: статический контент не нужно загружать каждый раз.

Есливы используете Apache, это делается ядром (для keepalive) и mod_expires (для директив кеша).Keepalive и mod_expires - это две САМЫЕ важные вещи, которые нужно настроить, если вы хотите работающий сайт.

Answer 2

вы не можете узнать это, пока NAT существует в интернете.Если у вас есть веб-сервер, и ваша отдельная страница состоит из ~ 50 элементов (CSS-файлы, изображения, другие элементы), вы получаете ~ 50 сеансов с одного IP-адреса (если нет NAT), который генерирует браузер одним щелчком мыши.