Si bien todos ellos llevan a un 404 No encontrado, los ciclos de CPU se desperdician en el procesamiento de estas solicitudes y afectan el acceso de los usuarios legítimos al menos por un corto tiempo.
Si bien todos ellos llevan a un 404 No encontrado, los ciclos de CPU se desperdician en el procesamiento de estas solicitudes ...
En algún lugar, los ciclos de la CPU "deben desperdiciarse" para filtrar estas solicitudes. Pero depende del tipo de solicitudes y de la configuración de su servidor y de la aplicación de cuántos ciclos será y dónde serán necesarios exactamente.
Si existe una fuente clara de estas solicitudes, puede usar reglas de filtro de paquetes simples (iptables, ipfw o algún enrutador frente al servidor) para bloquear dichas solicitudes en la capa de transporte mediante el filtrado basado en la dirección IP de origen. Esta sería la forma más barata, es decir, se desperdician menos ciclos. Pero en la mayoría de los casos no tiene una fuente tan clara, por lo que el filtrado debe realizarse en la capa de aplicación, que es más compleja y, por lo tanto, necesita más ciclos de CPU. Esto se puede hacer con un servidor de seguridad de aplicación web (WAF) frente al servidor, al filtrar las reglas de su servidor web o al filtrar estas solicitudes dentro de su aplicación web.
... y afecta el acceso de los usuarios legítimos al menos por un corto tiempo.
Si bien cualquier servidor en Internet recibe muchas solicitudes, generalmente no son tan importantes como las aplicaciones, es decir, son más una molestia y no representan una denegación de servicio. Si el manejo de dichas solicitudes es demasiado costoso para usted de lo que podría necesitar repensar el diseño de su aplicación web, por ejemplo, asegúrese de que las solicitudes incorrectas se eliminen antes y no provoque búsquedas en la base de datos u otras operaciones costosas.
Para obtener más detalles sobre este problema, consulte ¿Cómo puedo defenderme contra solicitudes GET maliciosas?
Descubrí que estas exploraciones no dirigidas y automatizadas generalmente escanean IP al azar y no incluyen un encabezado Host: ni incluyen un encabezado falso Host: . El filtrado de solicitudes con encabezados de host incorrectos puede reducir un poco la molestia del registro y posiblemente reducir el impacto en su servidor, dependiendo de la arquitectura del servidor.
Esto no hace que su servidor sea mucho más seguro, porque un atacante más dedicado puede simplemente incluir el encabezado correcto. Pero sí elimina mucha paja.
(Sin embargo, puede tener un beneficio de seguridad al evitar los ataques de reconexión de DNS.)
Lea otras preguntas en las etiquetas denial-of-service hardening ddos bot