Mit Verbindungen überflutete Apache-Protokolle - "(über ggpht.com GoogleImageProxy)"

7

Mein Server lief zu 100% mit CPU und als ich mir die Apache-Protokolle ansah, sah ich Hunderttausende von Verbindungen, die so aussahen:

10.190.45.31 - - [13/Mar/2014:15:29:02 +0000] "GET SOMETHING HTTP/1.1" 200 2261 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (via ggpht.com GoogleImageProxy)"

Die IP ist die meines Load Balancers, die ich leider nicht mit der Protokollierung eingerichtet hatte, sodass ich die wahre Quelle dieser Anforderungen nicht identifizieren kann.

Weiß jemand, was für ein Verkehr das ist?

apache-2.2 ddos user967722
quelle
1
Hallo, Sie haben das ddos- Tag eingefügt , 100% CPU-Auslastung und Hunderttausende von Protokollzeilen (die Sie Verbindungen nennen ) erwähnt. Ich kann keinen Zusammenhang zwischen diesen drei Dingen erkennen. Ich habe Ihre Frage beantwortet, aber ich vermute, Sie möchten wirklich wissen, warum Ihr Server ausgefallen ist und was Sie tun können, um ein erneutes Auftreten zu verhindern. Dazu müssen Sie wahrscheinlich wissen, was die CPU verwendet hat. Bist du gelaufen, topwährend es geschah? Haben Sie ein Überwachungssystem wie Cacti, Nagios, Munin, Observium, Zabbix usw.?
Ladadadada
Ist das angeforderte Bild ein Top-Ergebnis für einen beliebten Google-Suchbegriff? Ich habe dies auch gesehen und theoretisierte Bilder haben meinen Server einem Lasttest unterzogen, bevor das Bild als Ergebnis Nr. 1 für diesen Begriff angezeigt wurde.
Lucent

Antworten:

13

Ich sehe auch solchen Verkehr.

  • Die IP-Adressen liegen immer im 66.249.64.0/19Bereich, der Google gehört.
  • Die User-Agents, die ich sehe, sind immer die gleichen, die Sie dort haben.
  • Die angeforderten URLs sind meistens Bilder, manchmal jedoch nicht.
  • Die meisten Bild-URLs werden mehrmals angefordert. Die beiden am häufigsten nachgefragten Bilder (die wir übrigens nur in E-Mails enthalten, die unsere Plattform sendet) waren 2/3 der gesamten Anfragen.

Ich bin mir ziemlich sicher, dass dies mit der kürzlich an Google Mail vorgenommenen Änderung zusammenhängt, Bilder automatisch in E-Mails zu laden , dies jedoch über einen Proxy, sodass der Empfänger nicht identifiziert werden konnte.

Dieser Blog-Beitrag unterstützt mich und enthält denselben User-Agent.

Sie können dies wahrscheinlich testen, indem Sie sich eine HTML-E-Mail an Ihre Google Mail-Adresse senden, die ein solches Tag enthält (wobei Sie example.comnatürlich Ihre Domain ersetzen ):

<img src="http://example.com/this_probably_doesnt_exist.jpg">

Wenn Sie die gleiche Art von Treffer von diesem User-Agent für diese URL sehen, bin ich in meiner Vermutung richtig.

Ladadadada
quelle
Dieser Proxy wird auch zum Abrufen von auf Google Plus veröffentlichten Inhalten verwendet.
Vrac