web-dev-qa-db-fra.com

Qu'est-ce qui pourrait causer de grosses rafales de trafic d'une adresse IP unique à une ancienne URL inactive

En regardant Google Analytics récemment, j'ai remarqué un phénomène étrange. Au cours des dernières semaines, trois utilisateurs uniques ont fait 600 demandes pour une URL qui n'est plus utilisée.

J'ai étudié plus avant en examinant certains journaux d'accès et j'ai pu voir l'une de ces demandes en rafale. Cela provient d'une seule adresse IP (en utilisant IE10.0 sur Windows 7) et en faisant une demande légitime pour une URL existante. Mais après cette requête initiale, je vois 10 à 27 requêtes pour cette ancienne URL inactive, une requête par seconde en moyenne. Après cela, il y a une autre demande légitime pour une autre URL, 10 à 27 demandes pour l'ancienne URL, etc., et le modèle se répète.

J'ai contacté la société à laquelle l'adresse IP appartient, mais je n'ai trouvé aucune raison pour les demandes impaires. Se pourrait-il que leur navigateur utilise un plugin, un logiciel malveillant ou quelque chose qui envoie ces rafales de demandes lorsqu’il visite mon site? Quelqu'un a-t-il déjà vu quelque chose comme ça? En plus d’être simplement ennuyeux en général, cela gâche vraiment mes Google Analytics.

Voici un exemple tiré du journal (j'ai changé le nom de domaine et d'autres éléments car ils sont vraiment longs):

193.183.71.20 - - [25/Nov/2014:01:41:55 -0600] "GET /swe/ HTTP/1.1" 200 14009 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:41:56 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:41:58 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:41:59 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:00 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:00 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:01 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:02 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:03 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:04 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:04 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:05 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:06 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:07 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:07 -0600] "POST /search-redirect.php HTTP/1.1" 302 - "http://www.my-site/swe/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:08 -0600] "GET /swe/search/2014 HTTP/1.1" 200 14830 "http://www.my-site/swe/" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:09 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/search/2014" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:09 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:10 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:11 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:12 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:13 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:14 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:15 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:15 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:16 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:17 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
193.183.71.20 - - [25/Nov/2014:01:42:18 -0600] "GET /swe/a=3408 HTTP/1.1" 200 14050 "http://www.my-site/swe/a=3408" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"

Comme vous pouvez le constater, il y a une demande de page normale initiale, suivie de 13 demandes étranges. Ensuite, il y a une autre demande légitime (j'ai une réécriture .htaccess qui effectue une redirection 302 là-bas, mais cela semble fonctionner correctement pour les 99,99% restants des utilisateurs, de sorte que cela ne devrait avoir rien à voir avec rien).

La propriété intellectuelle appartient à une société légitime et bien connue en Suède, qui fait partie du public cible des sites.

2
Magnus W

Dans l'ensemble, ils semblent être innocents. En se basant sur l'apparence d'éléments autres que la fonction de recherche, qui semble plus que probablement légitime, l'utilisateur actualise constamment la page, ce qui, selon le site, pourrait être crédible, ou le navigateur de l'utilisateur, tel qu'un programme malveillant, présente une anomalie. reconfiguration de la machine ou du navigateur entraînant l'actualisation constante du navigateur. La chaîne de l'agent utilisateur semble être une séquence légitime IE, bien que cela puisse être usurpé, et le délai d'une seconde et de quelques secondes à la seconde tend également à me faire penser à un problème technique côté client. Cela ne semble pas être une véritable attaque, il est fort probable que quelqu'un ait des logiciels malveillants sur leur ordinateur et, lorsqu'ils tentent d'accéder à un site Web, le navigateur ne cesse d'actualiser leur navigateur.

À ce stade, je ne serais pas trop inquiet à moins que les mises à jour constantes commencent à affecter les performances de vos sites ou que vous voyiez des demandes plus inhabituelles ou nombreuses POST.

1
Chris Rutherfurd