最近一段时间一直发现有几个IP在对所有域名的首页请求,频率也不是蛮大,但总感觉不爽。再加上更早的时间,有不断变化的IP(你DROP,他就改IP)高频率请求size比较大的页面,导致带宽超标,封锁导致带宽超标的 User-Agent (log看到无cookie,未登录,且90%以上请求同一个页面),正常,未见异常
见log 前端时间分析了一下: 开始怀疑是不是那个第三方供应商的监控,网上搜了(有这几个IP,且一样的User-Agent) 说直接DROP的;问了其他同事,没有这些IP
140.207.54.139 - - [09/Aug/2013:00:13:07 +0800] "HEAD / HTTP/1.1" 200 181 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQDownload 713; .NET CLR 2.0.50727; InfoPath.2)" "-" "-" 260 0.000 - - files.test.com files.test.com 140.207.54.139 - - [09/Aug/2013:00:13:07 +0800] "HEAD / HTTP/1.1" 200 181 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQDownload 713; .NET CLR 2.0.50727; InfoPath.2)" "-" "-" 260 0.000 - - files.test.com files.test.com
见每天的日志分析统计中,总有这个User-Agent ,且IP总是这几个。看着有点烦。就上午把这几个IP干掉了。当时没有向领导确认。
过一个小时后,同事反向广东地区的ip解析怎么不是预设的ip,变成另外地区的了,我确认一下,是这个情况,边想着可能一个小时前的修改导致的,边向领导汇报故障,领导查看dns管理界面,发现时智能dns检测到广东地区的预设IP服务器故障了,切换到另外预设IP了
https://support.dnspod.cn/Kb/showarticle/tsid/16/ 列出监控IP,封锁了新加的IP,因User-Agent改变了
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; QQDownload 713; .NET CLR 2.0.50727; InfoPath.2) #新增监控IP的 User-agent DNSPod-monitor(http://www.dnspod.cn) #原有监控IP的 User-agent
解封新增加的IP,解析正常