nicht angemeldet
rätselhafte Zugriffe mehrmals pro Sekunde von einer IP ?
Hallo,
ich habe seit ca. 6 Monaten einen Server und sehe öffters mal nach was sich so in den Logfiles tut.
Da ist mir aufgefallen das manche Webseiten wie z. B. die Startseite
mehrmals pro Sekunde von der gleichen IP aufgerufen wurden. (bis zu 20 mal).
Wie ist sowas möglich?
Wenn ich bei meinem Browser die "aktualisieren" Taste drücke so schnell ich kann dann habe ich immer abstände von mind. 1 sec pro Aufruf.
Sind das Suchmaschinen?
Was nützt das eine Seite so oft in so kurzer Zeit aufzurufen?
Vielen Dank und Tschüss Andreas
-
Hallo Andreas.
Da ist mir aufgefallen das manche Webseiten wie z. B. die Startseite
mehrmals pro Sekunde von der gleichen IP aufgerufen wurden. (bis zu 20 mal).Wie ist sowas möglich?
Der UserAgent versucht einfach mehrere Verbindungen aufzubauen, um das Laden der jeweiligen Ressource zu beschleunigen.
Bei meinem Opera sind maximal 8 Verbindungen pro Server und 20 Verbindungen insgesamt eingestellt.Einen schönen Sonntag noch.
Gruß, Ash*feel free*ura
--
Selfcode: sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:) fl:( ss:) ls:[ js:|
30 Days to becoming an Opera8 Lover -- Troubleshooting
Meine Browser: Opera 8.50 | Firefox 1.0.7 | Lynx 2.8.5 | Netscape 4.7 | IE 6.0
-
Vielen Dank, das ist es
-
-
Moin!
Da ist mir aufgefallen das manche Webseiten wie z. B. die Startseite
mehrmals pro Sekunde von der gleichen IP aufgerufen wurden. (bis zu 20 mal).Wenn Du uns das betreffende Stück des Logfiles vorstellen würdest, so könnten wir Dich sicherlich beruhigen und Dir mal zeigen wie man an sowas rangeht.
Hier mal eine entsprechende Sequenz aus meinen Logfiles:
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /globus.gif HTTP/1.1" 200 1043 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /box.gif HTTP/1.1" 200 558 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /search.gif HTTP/1.1" 200 1017 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /telefon-icon.gif HTTP/1.1" 200 1051 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /letter_small.gif HTTP/1.1" 200 1003 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /bgblau.gif HTTP/1.1" 200 64 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /edit.gif HTTP/1.1" 200 889 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /schrank.gif HTTP/1.1" 200 376 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /link.gif HTTP/1.1" 200 190 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /folder.gif HTTP/1.1" 200 508 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /bglinie.gif HTTP/1.1" 200 53 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /folder.open.gif HTTP/1.1" 200 511 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /layout.gif HTTP/1.1" 200 862 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /linuxserv.gif HTTP/1.1" 200 661 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /top.gif HTTP/1.1" 200 915 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /fastix.gif HTTP/1.1" 200 80 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"-
Die Auswertung der IP-Adresse verweist auf die T-Com
http://www.ripe.net/whois
-> Vermutlich ein ganz normaler Zugang. -
Abgeholt wurden offensichtlich nacheinander eine Webseite und dann die dazu gehörenden Grafiken
Der Browser _scheint_ ein IE6 unter Windows XP zu sein dem ein Plug-In für das Auflösen von IDN-Domains (Mit Nicht-[alphanumerischen]-Zeichen (deutsch Umlaute) im Domainname) verbraten wurde. -
Die Grafiken sind tatsächlich in der Webseite referenziert.
=> ein ganz normaler Zugriff
213.93.238.41 - - [25/Sep/2005:11:09:49 +0200] "GET /&prev=/search%3Fq%3Dfastix%2B%2Be-mail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 404 14295 consult.fastix.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"
...
/email.php&prev=/search%3Fq%3Dfastix%2B%2Be-mail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 300 622 www.it-schule.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"
...
213.93.238.41 - - [25/Sep/2005:11:10:21 +0200] "GET /impressum.php&prev=/search%3Fq%3Dfastix%2B%2Be-mail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 300 634 banner.fastix.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"
...
213.93.238.41 - - [25/Sep/2005:11:10:21 +0200] "GET /kleinweich_story.php&prev=/search%3Fq%3Dfastix%2B%2Be-mail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 300 655 banner.fastix.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"
...
213.93.238.41 - - [25/Sep/2005:11:10:31 +0200] "GET /impressum.php&prev=/search%3Fq%3Dfastix%2B%2Bemail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 300 631 banner.fastix.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"Hier war Google so freundlich, mir mitzuteilen was da gesucht wurde: "fastix email", "fastix e-mail" und so weiter. Weil sich weitere der knapp 1000 Zugriffe von dieser IP innerhalb von 30 Minuten ereigneten gehe ich davon aus, der "Besucher" war ein Skript und kein IE. Das ist mir aufgefallen, weil sein Skript (oder wget) einen von mir dank der umfänglichen Fehlerkorrektur sämtlicher aktuellen Browser übersehenen Fehler nicht ausgleichen konnte. Ich habe den inzwischen freundlicherweise repariert, falls er das Skript nochmal starten möchte :)
Es handelt sich offenkundig um einen Spammer, der sich angepisst fühlt, weil ich ihn im Spamforum freundlich erwähnte. Deshalb spidert er meine Seiten und sucht nach von mir verwendeten Mailadressen. Toller Hecht.
=> Auch nichts, was mich beunruhigen muss.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development-
Hallo,
erst mal vielen Dank für die sehr umfangreiche Antwort.
Ich habe das mit dem Opera (geschrieben von Ashura) getestest es kann wirklich dazu führen das die Seite mehrmals pro Sekunde aufgerufen wird.
Nur wie unterscheide ich einen solchen Zugriff von z. B. einem Spamer?
Das Maximum der Zugriffe war bis jetzt 20 Stück von einer IP in zwei Sekunde. Muß ich mir da Gedanken machen?
Tschüss Andreas
-
Moin!
Nur wie unterscheide ich einen solchen Zugriff von z. B. einem Spamer?
In der Regel gar nicht.
Das Maximum der Zugriffe war bis jetzt 20 Stück von einer IP in zwei Sekunde. Muß ich mir da Gedanken machen?
Nicht, wenn Deine Skripte 'sauber' sind. Etwas anderes wäre beim Vorliegen einer DDOS oder DOS-Atacke der Fall, aber das liegt hier ebenso nicht vor. Dafür sind es deutlich zu wenige Zugriffe.
Jetzt lass Dich mal nicht von der Angst auffressen... Ein wenig Fatalismus und Selbstsicherheit sind durchaus angebracht statt immerzu an irgendwelche drohenden Unglücke zu glauben.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
-
-