Serveur dédié : bloquer des requêtes http

[rudddy]

Bonjour,

j'ai des milliers de requêtes par jour qui me sappe ma mémoire sur mon dédié. les requêtes hhtp sont du type :

94.23.215.229 - - [23/Jul/2009:23:14:00 +0200] "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 299 "-" "-"

avec toujours le w00tw00t.at.ISC.SANS.DFind dedans

alors au début je bloquer les ip une par une avec iptable, mais bon, ça a pas trop résolu le problème !

y a t-il un moyen de bloquer automatiquement toutes les requêtes de ce type ?

EDIT : j'ai bien essayé cela http://spamcleaner.org/fr/misc/w00tw00t.html avec iptables

 iptables -I INPUT -d XX.XX.XX.XXX -p tcp --dport 80 -m string --to 70  --algo bm --string 'GET /w00tw00t.at.ISC.SANS.' -j DROP

mais ce n'est pas pris en compte : j'ai toujours la même erreur :

iptables v1.3.0: Couldn't load match `string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory

merci à vous

Yves

 

[salva]

Salut,

Quel est l'OS du serveur ?

Tu as ceci si tu installes fail2ban.

 

[rudddy]

c'est linux mais enfin fail2ban ne sert qu'à bannir des adresses IP à posteriori ... la connexion avec le serveur est établi donc on gagne pas grand chose, surtout que les adresses IP changent non stop

source : http://spamcleaner.org/fr/misc/w00tw00t.html

 

[salva]

c'est linux mais enfin fail2ban ne sert qu'à bannir des adresses IP à posteriori ...

Oui c'est exact le bannissement est fait à posteriori...mais il a lieu quand même. Fail2ban utilise iptables.

J'ai par jour une dizaine de ligne dans mes logs pas des milliers.

 

[jcaron]

Ce genre de requête ça ne bouffe rien normalement, puisque ça cherche une page qui n'existe pas et que sauf erreur c'est même une requête mal formée vu que ça fait une erreur 400, donc c'est ejecté assez vite. Cherche ailleurs pour un truc qui bouffe des ressources sur ta machine.

Jacques.