Mentre tutti portano a un 404 non trovato, i cicli della CPU vengono sprecati nell'elaborare queste richieste e influiscono sull'accesso da parte degli utenti legittimi almeno per un breve periodo.
While all of them lead to a 404 Not Found, CPU cycles are wasted in processing these requests ...
Da qualche parte i cicli della CPU "devono essere sprecati" per filtrare queste richieste. Ma dipende dal tipo di richieste e dalla configurazione del server e dell'applicazione quanti cicli saranno e dove esattamente saranno necessari.
Se esiste una chiara fonte di queste richieste è possibile utilizzare semplici regole di filtro dei pacchetti (iptables, ipfw o qualche router davanti al server) per bloccare tali richieste già al livello di trasporto mediante il filtro basato sull'indirizzo IP di origine. Questo sarebbe il modo più economico, cioè meno cicli sono sprecati. Ma nella maggior parte dei casi non si dispone di una fonte così chiara, quindi il filtraggio deve essere eseguito a livello di applicazione, che è più complesso e quindi richiede più cicli di CPU. Ciò potrebbe essere fatto con un firewall per applicazioni Web (WAF) di fronte al server, filtrando le regole sul server Web o filtrando tali richieste all'interno dell'applicazione Web.
... and affects access by legitimate users at least for a short while.
Mentre qualsiasi server su Internet riceve molte richieste, di solito non è così tanto da influenzare realmente le applicazioni, cioè sono più un fastidio e non costituiscono un rifiuto di servizio. Se la gestione di tali richieste è troppo costosa per te rispetto a quella che potresti dover ripensare alla progettazione della tua applicazione web, ad esempio assicurati che le cattive richieste vengano filtrate in anticipo e non causino ricerche nel database o altre operazioni costose.
Per maggiori dettagli su questo problema, vedi Come posso difendermi da richieste GET dannose?
Ho scoperto che queste scansioni automatizzate, non orientate, di solito eseguono la scansione degli IP casualmente e non includono un'intestazione Host: o includono un'intestazione Host: falsa. Filtrare le richieste con intestazioni host maligne può ridurre un po 'la registrazione fastidiosa e ridurre l'impatto sul server, a seconda dell'architettura del server.
Questo non rende il tuo server molto più sicuro, perché un attaccante più dedicato può semplicemente includere l'intestazione corretta. Ma elimina un sacco di chaff.
(Tuttavia, può avere un vantaggio in termini di sicurezza impedendo gli attacchi di rebinding DNS.)
Leggi altre domande sui tag denial-of-service hardening ddos bot