Muchas Conexiones en access.log

Publicado por kuwox, Febrero 24, 2015, 10:08:48 PM

Tema anterior - Siguiente tema

kuwox

Estimados, tengo un problema que no he podido solucionar, ya usando el Raptorcache me tope en un momento con que la conexión se tornó lenta y al entrar en access.log de squid me escontré con lo siguiente:

1424833389.337      0 104.166.70.200 TCP_DENIED/403 3788 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.443      0 104.166.74.136 TCP_DENIED/403 3816 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.500      0 104.166.70.156 TCP_DENIED/403 3823 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.627      0 100.43.177.51 TCP_DENIED/403 3818 GET http://www.basinfinance.com/ad.html - NONE/- text/html
1424833389.650      0 104.247.197.26 TCP_DENIED/403 3833 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.674      0 104.247.192.138 TCP_DENIED/403 3778 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.754      0 104.166.70.149 TCP_DENIED/403 3807 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.785      0 104.166.70.150 TCP_DENIED/403 3849 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.830      0 100.43.177.59 TCP_DENIED/403 3765 GET http://www.bitefinance.com/ad.html - NONE/- text/html
1424833390.104      1 100.43.137.117 TCP_DENIED/403 3903 GET http://www.basinfinance.com/ad.html - NONE/- text/html
1424833390.221      0 104.166.86.72 TCP_DENIED/403 3821 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.477      0 100.43.191.20 TCP_DENIED/403 3799 GET http://www.bitefinance.com/ad.html - NONE/- text/html
1424833390.510      0 173.208.129.20 TCP_DENIED/403 3847 GET http://www.basinfinance.com/ad.html - NONE/- text/html
1424833390.529      0 104.166.85.211 TCP_DENIED/403 3815 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.624      0 104.247.192.186 TCP_DENIED/403 3850 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.672      0 104.166.69.102 TCP_DENIED/403 3774 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.683      0 104.166.74.196 TCP_DENIED/403 3815 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.792      0 104.247.197.42 TCP_DENIED/403 3822 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.795      0 104.247.197.42 TCP_DENIED/403 3849 GET http://anx.batanga.net/ttj? - NONE/- text/html

Estos sitios web aparecen rápida y repetidamente en el access.log de squid, aparecen como TCP_DENIED porque las coloqué en URL denegadas, y en el N° de Conexiones del Web Panel me aparecen sobre las 5000 conexiones y la conexión se torna desde lenta hasta no tener conexión.

Agradecería de antemano dicha ayuda, he verificado el foro pero no encuentro nada.

Por otro lado veo que las IP que genera no son las de los clientes, me gustaria ver como puedo hacer que el squid refleje la IP de los clientes de donde vienen las peticiones.

Gracias de antemano.

firecold

Cita de: kuwox en Febrero 24, 2015, 10:08:48 PM
Estimados, tengo un problema que no he podido solucionar, ya usando el Raptorcache me tope en un momento con que la conexión se tornó lenta y al entrar en access.log de squid me escontré con lo siguiente:

1424833389.337      0 104.166.70.200 TCP_DENIED/403 3788 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.443      0 104.166.74.136 TCP_DENIED/403 3816 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.500      0 104.166.70.156 TCP_DENIED/403 3823 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.627      0 100.43.177.51 TCP_DENIED/403 3818 GET http://www.basinfinance.com/ad.html - NONE/- text/html
1424833389.650      0 104.247.197.26 TCP_DENIED/403 3833 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.674      0 104.247.192.138 TCP_DENIED/403 3778 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.754      0 104.166.70.149 TCP_DENIED/403 3807 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.785      0 104.166.70.150 TCP_DENIED/403 3849 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833389.830      0 100.43.177.59 TCP_DENIED/403 3765 GET http://www.bitefinance.com/ad.html - NONE/- text/html
1424833390.104      1 100.43.137.117 TCP_DENIED/403 3903 GET http://www.basinfinance.com/ad.html - NONE/- text/html
1424833390.221      0 104.166.86.72 TCP_DENIED/403 3821 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.477      0 100.43.191.20 TCP_DENIED/403 3799 GET http://www.bitefinance.com/ad.html - NONE/- text/html
1424833390.510      0 173.208.129.20 TCP_DENIED/403 3847 GET http://www.basinfinance.com/ad.html - NONE/- text/html
1424833390.529      0 104.166.85.211 TCP_DENIED/403 3815 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.624      0 104.247.192.186 TCP_DENIED/403 3850 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.672      0 104.166.69.102 TCP_DENIED/403 3774 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.683      0 104.166.74.196 TCP_DENIED/403 3815 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.792      0 104.247.197.42 TCP_DENIED/403 3822 GET http://anx.batanga.net/ttj? - NONE/- text/html
1424833390.795      0 104.247.197.42 TCP_DENIED/403 3849 GET http://anx.batanga.net/ttj? - NONE/- text/html

Estos sitios web aparecen rápida y repetidamente en el access.log de squid, aparecen como TCP_DENIED porque las coloqué en URL denegadas, y en el N° de Conexiones del Web Panel me aparecen sobre las 5000 conexiones y la conexión se torna desde lenta hasta no tener conexión.

Agradecería de antemano dicha ayuda, he verificado el foro pero no encuentro nada.

Por otro lado veo que las IP que genera no son las de los clientes, me gustaria ver como puedo hacer que el squid refleje la IP de los clientes de donde vienen las peticiones.

Gracias de antemano.

El detalle que veo y como dices es que no son las ips de tus clientes, podria ser que estes siendo victima de un ataque a tu servidor, Saludos

passgpc

Hola, me sucede lo mismo y busco en internet y no tengo ni pista del ataque, pudiste solucionarlo ?

kuwox

Saludos amigo, si pude solucionarlo, son ataques a mi raptor por ser un webproxy, agregué las siguientes reglas en el Firewall

/ip firewall filter add chain=forward comment="Bloqueo Raptorcache externo" protocol=tcp dst-port=3128,8080 in-interface=wan-adsl=drop

/ip firewall filter add action=drop chain=input comment="Bloqueo DNS cache externo" disabled=no dst-port=53 in-interface=wan-adsl protocol=udp

En las dos instrucciones debes estar atento en in-interface=wan-adsl  porque wan-adsl se llama mi interfaz por donde llega el internet, es decir el que va conectado a mi ADSL, debes cambiarlo por el nombre de tu interfaz.

Cualquier cosa me escribes, sobre todo si tuviste éxito, he implementado RAPTORCACHE y me ha ido calidad, los inconvenientes que he presentado siempre han sido del Milkrotik mas no de RAPTORCACHE.

kenedycruz14

lo que a mi me parece que son bots intentanto acceder a un serverproxy por que en lo que cambio el puerto default a otro y vuelvo a revisar el log y suazz se acabarons las ip externas. ya estoy entiendo sobre este tema fue un dolor de cabeza antes aunque deberia haber una manera de bloquearla  :-X

firecold

Cita de: kenedycruz14 en Septiembre 10, 2016, 12:40:37 PM
lo que a mi me parece que son bots intentanto acceder a un serverproxy por que en lo que cambio el puerto default a otro y vuelvo a revisar el log y suazz se acabarons las ip externas. ya estoy entiendo sobre este tema fue un dolor de cabeza antes aunque deberia haber una manera de bloquearla  :-X

Como siempre esta es una solucion bien practica, tanto en squid como en iptables, primero tienes que permitir lo que necesitas y denegar el resto, Saludos