X = Ziffer .... hatte ich mir fast schon selbst gedacht.
Das Problem sind aber die Punkte, im RegEx.

.
\. oder [.]



AQtime lag, bis vor ein paar Jahren, in einer Emba-Version dem Delphi bei, auf der Addon-CD von XE bis XE7, bzw. auf der Installations-CD versteckt oder gar direkt im Delphi-Setup.
Die funktionieren jetzt vermutlich aber immernoch, also als Standalone ... nicht die IDE-Integration, aber egal.

https://en.wikipedia.org/wiki/List_o...analysis_tools




Direkt in der Firewall schon sperren?

Den Port verschieben?

Der Sender scannt Ports und probiert es auf denen die frei sind. Ich habe das Phänomen schon auf mehreren Servern und verschiedenen Ports beobachtet.
Die IP Adressen sind zwar immer gleich allerdings kommt auch mal eine neue dazu. Ideal wäre wenn das Programm die Blacklist für sich selber generiert, was möglich ist.
Allerdings verstehe ich nicht wie es zu der hohen CPU Auslastung kommt.

Irgendwas innerhalb der Indy-Komponenten führt zu dem Verhalten.

Am besten wäre die allererste Stelle zu finden an der ein Connect stattfindet und dort gleich IP Adressen zu blockieren.

OnConnect scheint das nicht zu sein.

Irgendwas schicken die bei dem TCP-Connect mit was zu dem Verhalten führt.

Was passiert wenn du anstatt AContext.Connection.Disconnect ein Abort machst?

Ich sehe hier keine Möglichkeit einen Abort aufzurufen. Wie sieht der Aufruf für einen Abort aus?

Ich weiß nicht, ob Indy wirklich vernünftig für so etwas ausgelegt ist.

Ich würde eher ein Tool wie nginx davorschalten, der sich um so etwas wie Rate Limitung, Blacklistung usw. kümmert.

Du kannst statt einem Disconnect ja mal ein DisconnectSocket probieren.

Ich würde allerdings eher mal den Stacktrace an der Stelle als Ausgangspunkt nehmen und schauen, was da vorher passiert. Sprich ein wenig debuggen und schauen, ob es einen besseren Eingriffspunkt gibt.

Ich möchte meine Frage nach erweiterten Recherchen etwas anders darstellen.

Folgende Situation:

TCPServer wird auf einem Port aktiviert und lauscht auf diesem auf eingehende TCPConnects und wertet die eingehenden Daten in Execute aus.

Im einem Testprogramm klappt das mit bekannten Clients ohne Probleme.


Jetzt bekomme ich Connects von offensichtlichen SPAM IP Addressen (Recherche Google).

Nun wird wiefolgt darauf reagiert -> es wird ein Disconnect ausgelöst.

Dieser Disconnect führt aber NICHT dazu das der Socket geschlossen wird!
So wie ich das verstehe muss der zu sendende Client diesen Disconnect "bestätigen" damit tatsächlich auch ein "onDisconnect" Event ausgelöst und der Socket geschlossen wird?
Ist das so?


Jetzt die alles entscheidende Frage:
Wie kann ich Serverseitig erzwingen, dass eine Verbindung geschlossen wird?
Es ist mir egal was der CLient davon hält. Die Verbindung soll geschlossen werden.
Am besten sollte es so erscheinen als ob der Port gar nicht erreichbar ist.



Besagte Connects von den SpamIps führen dazu, dass die CPU-Auslastung mit jeder offenen Verbindung ins maximale ansteigt.
Irgendwas passiert bei den Connects.


Wenn ich den Server stoppe, dann werden auch die Spam-Verbindungen disconnected. Das ist im Log nachvollziehbar.
Ein Server Neustart kann aber nicht die Lösung für solch ein Problem sein.


Vielen Dank und viele Grüße

Hast du dir denn einmal den Stacktrace und davon ausgehend den Quelltext angeschaut?

Also ich würde ja Mal ein disconnect(false) oder das schon erwähnte Abort ausprobieren...