|
Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
Hallo liebe Community,
ich habe seit längeren einen TCPServer basierend auf den Indy10 Komponenten in Betrieb. Das funktioniert grundsätzlich, Daten von den Clients kommen und werden abgearbeitet. In letzter Zeit bekomme ich gehäuft TCP-Connects und Content von offensichtlichen SPAM IP-Adressen. Grundsätzlich kann ich auch am Inhalt erkennen das es sich um SPAM handelt. In TIdTCPServer.OnConnect wird bei mir erstmals auf die PeerIp geschaut ob diese IP-Adresse auf einer BlackList ist und entsprechend sofort ein disconnect ausgelöst:
Delphi-Quellcode:
procedure TGPRSCommModuleFM.tcpConnect(AContext: TIdContext);
begin try if TRegEx.IsMatch(AContext.Connection.Socket.Binding.PeerIP, 'XX.XX.XX.') OR TRegEx.IsMatch(AContext.Connection.Socket.Binding.PeerIP, 'XX.XX.XX.') then begin AContext.Connection.Disconnect; end; except on E: Exception do end; end; Nun folgendes Problem: Mit jedem connect von einer solchen IP Adresse springt die CPU Auslastung des Programms extrem in die Höhe und verweilt dort. Das geht solange bis das Programm eine Auslastung von 100% CPU verursacht. Es muss irgendein Thread in den Indy Komponente sein der nicht richtig beendet wird. Gibt es eine Möglichkeit vor dem TCPconnect die IP abzugreifen und zu blockieren? Wie kann so ein Verhalten zu erklären sein? Schicken die im TCPHeader irgendwelchen Code mit der Fehler im Indy verursacht? Ist sowas möglich? beispielhafte SPAM IP: 147.45.112.147 Content:0300002A25E00000000000436F6F6B69653A206D73 7473686173683D546573740D0A0100080003000000 Vielen Dank |
AW: Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
Erstmal solltest du dich mit regulären Ausdrücken dringend mal beschäftigen,
denn
Delphi-Quellcode:
'123456789' ~ '12.45.78.'
Weil . ist das, was im Dateisystem ein ? ist. Da doch sowieso immer nur am Anfang geschaut werden soll, noch ein ^ mit rein, einmal, damit nicht sinnlos nachfolgendes geprüft wird und weil
Delphi-Quellcode:
sonst auch trifft, obwohl 123 <> 3.
'123.45xxxx' ~ '3.45'
Delphi-Quellcode:
if TRegEx.IsMatch(AContext.Connection.Socket.Binding.PeerIP, '^(XX\.XX\.XX\.|XX\.XX\.XX\.)') then
Delphi-Quellcode:
Oder wie wäre es mit einem einfachen String-Vergleich, wenn es eh nur um einen String-Anfang geht?
// irgendwo vorher einmal initialisieren
RegEx := TRegEx.Create('^(XX\.XX\.XX\.|XX.XX\.XX\.)'); // und im Event nur noch if RegEx.IsMatch(AContext.Connection.Socket.Binding.PeerIP) then
Delphi-Quellcode:
if
StartsStr('XX.XX.XX.', AContext.Connection.Socket.Binding.PeerIP) OR StartsStr('XX.XX.XX.', AContext.Connection.Socket.Binding.PeerIP) |
AW: Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
Ich nutze hier die public
function Match(const Input: string): TMatch; overload; Der Matchingteil funktioniert und ist an dieser Stelle auch nur zum schnellen Debugging und Test eingebaut. Auch wenn deine Variante die Elegantere ist versuche ich zuerst die Ursache für die CPU Auslastung zu finden. Anschließend fliegt das wieder raus und wird anders gestaltet. Die eingehenden SPAM Ips sind immer identisch daher hier testweise nur auf den String gefiltert . XX sind tatsächlich Zahlen. Ich fange hier im laufenden Programm tatsächlich die ungewünschten IPs ein und schreibe es ins Log. |
AW: Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
X = Ziffer .... hatte ich mir fast schon selbst gedacht. :angle2:
Das Problem sind aber die Punkte, im RegEx. . \. oder [.] Zitat:
Die funktionieren jetzt vermutlich aber immernoch, also als Standalone ... nicht die IDE-Integration, aber egal.  https://en.wikipedia.org/wiki/List_o...analysis_toolsDirekt in der Firewall schon sperren? Den Port verschieben? |
AW: Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
Der Sender scannt Ports und probiert es auf denen die frei sind. Ich habe das Phänomen schon auf mehreren Servern und verschiedenen Ports beobachtet.
Die IP Adressen sind zwar immer gleich allerdings kommt auch mal eine neue dazu. Ideal wäre wenn das Programm die Blacklist für sich selber generiert, was möglich ist. Allerdings verstehe ich nicht wie es zu der hohen CPU Auslastung kommt. Irgendwas innerhalb der Indy-Komponenten führt zu dem Verhalten. Am besten wäre die allererste Stelle zu finden an der ein Connect stattfindet und dort gleich IP Adressen zu blockieren. OnConnect scheint das nicht zu sein. Irgendwas schicken die bei dem TCP-Connect mit was zu dem Verhalten führt. |
AW: Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
Was passiert wenn du anstatt AContext.Connection.Disconnect ein Abort machst?
|
AW: Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
Ich sehe hier keine Möglichkeit einen Abort aufzurufen. Wie sieht der Aufruf für einen Abort aus?
|
AW: Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
Ich weiß nicht, ob Indy wirklich vernünftig für so etwas ausgelegt ist.
Ich würde eher ein Tool wie nginx davorschalten, der sich um so etwas wie Rate Limitung, Blacklistung usw. kümmert. |
AW: Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
Du kannst statt einem Disconnect ja mal ein
DisconnectSocket probieren. |
AW: Indy10 TCPServer Spam erkennen, hohe CPU Auslastung
Zitat:
Delphi-Quellcode:
Ich würde allerdings eher mal den Stacktrace an der Stelle als Ausgangspunkt nehmen und schauen, was da vorher passiert. Sprich ein wenig debuggen und schauen, ob es einen besseren Eingriffspunkt gibt.
Abort;
// Das löst eine stille Exception aus. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:54 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz