Moin,
ich stehe vor einem interessantem Problem.
Mein "kleiner" API Service http://ip.anysrc.net wird seit einigen Wochen gut besucht.
In den letzten 24 Stunden 12.431.956 Hits von 2.185.354 eindeutigen IP Adressen. Ich habe das ganze mit NGINX, Caches und Begrenzung der Anzahl an Requests pro IP recht gut in den Griff bekommen.
Nun habe ich mit etwas Suchaufwand raus bekommen, wo das "Interesse" herkommt. Der Dienst wird von diverser Malware verwendet. Als erste Gegenmaßnahme habe ich jetzt einfach erst mal alle Aufrufe ohne einen Useragent (Header fehlt, macht 90% des Traffics aus) im NGINX geblockt.
Allerdings wird das nur eine temporäre Lösung sein, bis die Penner entsprechend Anpassungen vorgenommen haben.
Wie seht ihr das? Ich war bisher nie einer so großen Last ausgeliefert und sehe es eigentlich auch nicht ein aufzurüsten. Im Zweifelsfall verschiebe ich den Dienst auf eine separate VM und reglementiere das ganze so, dass die meisten User einfach nur nen "Bad Request" bekommen. Nur dann könnte ich den Dienst auch gleich ganz einstellen.
Irgendwelche Ideen?
Man kann die Malware aktuell nur am fehlenden Useragent erkennen.
Ansonsten gibt es keine Auffälligkeiten.