Вопрос или проблема
На 30 октября 2024 года наш сервер получает запросы на Data:Image/X-Icon; от IP-адресов, зарегистрированных как Amazon-Web-services, но эти запросы недействительны. Но запросы начинаются как действительные, и они получают действительные части нашего веб-сайта, пока User-Agent не изменяется, и тогда они пытаются получить то, что выглядит как ‘Favicon’ недействительным способом, или новым? способом. (см. журнал ниже)
Я вижу запросы трафика в нашем журнале, которые отправляют запросы на “/data:image/x-icon;”, но этот запрос возвращается как ошибка. Если они ищут ‘Favicon’, они даже не пытаются искать в обычных местах. У нас есть веб-сайт и сервер, и я сначала вижу ошибки, а затем могу изучить весь журнал запросов определенного IP. Я знаю, что они использует Amazon-Web-services, потому что я провел поиск по IP-адресам. Это не один и тот же человек, но в каждом случае это был Amazon как их интернет-провайдер.
Я вижу это в журнале, и user-agent даже меняется на ‘Linux’, в отличие от остальных запросов, которые идут с Windows.
2024-10-30 15:45:53 GET /Images/bullet.png - 443 - 99.99.99.99 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/130.0.0.0+Safari/537.36+Edg/130.0.0.0
2024-10-30 15:45:53 GET /images/Login-screen-top.png - 443 - 99.99.99.99 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/130.0.0.0+Safari/537.36+Edg/130.0.0.0
2024-10-30 15:45:53 GET /images/background_bottom.png - 443 - 99.99.99.99 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/130.0.0.0+Safari/537.36+Edg/130.0.0.0
2024-10-30 15:45:56 GET /data:image/x-icon;, - 443 - 99.99.99.99 Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/124.0.0.0+Safari/537.36
2024-10-30 15:45:56 GET /ErrorPage.aspx aspxerrorpath=/data:image/x-icon;, 443 - 99.99.99.99 Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/124.0.0.0+Safari/537.36
Я не могу сказать, видит ли мой клиент эту ошибку или нет, но, возможно, не видит, если user-agent действительно меняется. Я вижу это очень часто сейчас в своем журнале, что-то происходит. Amazon включил какой-то переключатель.
.
Ответ или решение
Обработка запросов на data:image/x-icon на вашем веб-сайте представляет собой интересную задачу, особенно когда эти запросы исходят от IP-адресов, связанных с Amazon Web Services (AWS), и имеют нестандартный формат. Рассмотрим, как можно подойти к решению этой проблемы, основываясь на предоставленных вами данных.
1. Понимание проблемы
Запросы с data:image/x-icon являются некорректными, так как они пытаются получить ресурс, используя встроенный тип данных в неправильном формате. В вашем случае, запросы начинаются валидно, но затем пользовательский агент меняется, что может указывать на использование автоматизированных систем или ботов, которые могут действовать неправильно.
2. Анализ логов запросов
Ваши логи показывают последовательность запросов к изображением, после чего идет попытка получить иконку сайта по некорректному URI. Это может быть вызвано неправильными конфигурациями клиента или атакующими bot-ами, которые обращаются к вашему сайту с целью выполнить определенные действия, такие как сканирование.
Примерка логов:
2024-10-30 15:45:53 GET /Images/bullet.png - 443 - 99.99.99.99 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+...
...
2024-10-30 15:45:56 GET /data:image/x-icon;, - 443 - 99.99.99.99 Mozilla/5.0+(X11;+Linux+x86_64)+...Здесь видно изменение пользовательского агента, что может служить индикатором автоматизации источника запросов.
3. Потенциальные действия
A. Игнорирование некорректных запросов
Поскольку запросы с data:image/x-icon являются ошибочными, можно настроить сервер для игнорирования таких запросов или возвращения статуса 404 (не найдено). Это уменьшит количество ненужных записей в логах:
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/data:image/x-icon;$
RewriteRule ^ - [R=404,L]B. Анализ пользовательского агента
Убедитесь, что ваш сервер может отслеживать изменения в пользовательском агенте. В некоторых случаях изменение пользовательского агента может быть связано с атакующими bot-ами. Вам стоит рассмотреть возможность блокировки IP адресов, которые систематически делают такие запросы:
<RequireAll>
Require all granted
Require not ip 99.99.99.99 # замените на IP адреса с нежелательным трафиком
</RequireAll>C. Фильтрация трафика
Систематически анализируйте запросы из AWS. Если вы определили определенные паттерны, вы можете создать фильтры для блокировки подозрительных IP-адресов или же воспользоваться облачными решениями для предотвращения DDoS-атак.
D. Исправление конфигурации фавикона
Проверьте, правильно ли настроены ссылки на фavicon на вашем сайте. Убедитесь, что клиентский браузер может корректно обращаться к ресурсу:
<link rel="icon" href="/images/favicon.ico" type="image/x-icon">4. Заключение
Проблема запросов на data:image/x-icon может указывать на более глубокие проблемы, связанные с ненадлежащим использованием вашего сайта или потенциальными автоматизированными атаками. Подходы, описанные выше, позволят вам эффективно справиться с такими запросами. Используйте инструменты мониторинга и анализа, чтобы оставаться в курсе ситуации и настраивать защиту вашего веб-сервера.
Если у вас возникнут дополнительные вопросы или потребуется помощь в выполнении указанных шагов, не стесняйтесь обращаться.