En fin de semaine dernière et ce week-end, notre site web a été mis à rude épreuve par ce qui ressemble à une attaque.
Pour éviter que des accès automatisés trop fréquents épuisent les capacités de notre serveur, nous avons mis en place un "honeypot" : une page cachée, dont l'adresse ne peut pas être trouvée en se baladant sur notre site, mais accessible aux robots ou aux analyseurs de page.
Pour respecter les robots d'indexation, son accès est protégé logiquement, et les "bons" robots qui respectent les protocoles ne la visiteront pas.
Ceux qui ne respectent pas la norme, dès qu'ils y accèderont, verront leur adresse IP bloquée, et le site entier ne leur sera plus accessible.
Sporadiquement, une adresse tombe ainsi dans le pot et est exclue.
Mais de temps en temps, ce sont des dizaines d'adresses IP proches les unes des autres (achetées en lot par une même entité) qui se font prendre en quelques minutes. Même si elles sont immédiatement bloquées, on peut imaginer que d'autres balaient d'autres pages et mettent potentiellement en péril l'accès à notre site en le surchargeant.
Voici le graphe des adresses IP prise la main dans le pot de miel, depuis le début de l'année
Jeudi, plus de 400 adresses différentes ont été bloquées.
Vendredi, c'était parti pour égaler le record, alors nous avons commencé à tailler à la hache : dès que plus d'une dizaine d'adresses IP appartenaient au même groupe (groupe de 256 adresses proches) nous banissions tout le groupe.
Nous avons pris le risque de bloquer des adresses d'utilisateurs légitimes et malchanceux mais c'est un moindre mal.
Ça s'est poursuivi jusqu'à dimanche, mais nous avons réussi finalement à endiguer le flot.
Pour info, ces adresses provenaient du cloud Alibaba (oui, le vendeur de produits chinois Alibaba - Aliexpress) et d'un robot d'indexation Facebook - Meta qui semble ignorer les directives éthiques.
On allait dire "prévenez-nous si votre adresse IP a été bannie par erreur", mais dans ce cas vous ne verrez même plus ce blog  |
Honeypot 
