Web サイトに対して突然大量のリクエストを投げつけてくるボット。検索エンジンのクローラ系もありますが、全く関係の無いボットもあります。
プロセスで CGI 特定したり、netstat -anl 結果から攻撃元を特定、 さらにはアクセスログと格闘していましたが、今更ですが今回は Apache の server-status 表示を”プログラム”で取得し、集計して判断をするようにしました。 これであれば、リクエスト URI や、常にポートを専有しているかの判断ができそう。
この Status モジュールによりサーバ管理者はサーバがどのくらい の性能で動作しているかを知ることができるようになります。 現時点でのサーバの統計情報を読みやすい形式で表した HTML ページが 表示されます。必要であれば、このページは自動的にリフレッシュさせる こともできます (互換性のあるブラウザを使用している場合)。 別に、現時点でのサーバの状態を単純な機械読み取り可能なリストで 表すページもあります。
https://httpd.apache.org/docs/2.4/ja/mod/mod_status.html
