Seltsames auf dem Webserver.

Eigentlich sind wir von einem Webserver und der darauf stationierten Website eines Kunden folgende Besucherdimensionen gewohnt. Ein wunderbar gezeichnetes, EKG-artiges Diagramm – zumindest bis auf die letzten beiden Tage:

Eine fast verdreifachte Besucherzahl ist selbst für einen Montag eine höchst seltsame Geschichte. Es wurde bei näherer Analyse aber noch viel merkwürdiger. Denn rund 600 Besuche (und damit ziemlich genau das, was an diesem Montag zusätzlich als Besucher kam) waren nahezu identisch: Sie kamen von einem MacOS-Rechner und einem dort installierten Firefox 3.6 und jeder Aufruf bestand aus dem Abruf einer einzigen Seite. Und das dann auch ziemlich genau im 30-Sekunden-Takt, den halben Tag lang. Gut, denke ich, das wird wohl ein Rechner sein, auf dem ein Firefox etwas Amok läuft, beispielsweise mit einem Addon zum automatischen Refresh einer aufgerufenen Seite.

Was allerdings merkwürdig war, war der Absender: Es war nämlich nicht eine einzige IP-Adresse, sondern tatsächlich genau so viele IP-Adressen, wie zusätzliche Aufrufe, also über 600 verschiedene IP-Adressen. Und, damit nicht genug: Alle diese IP-Adressen stammen aus dem IP-Adresspool von Alice/Telefonica.

Kurzum: Wir haben das Rätsels Lösung nicht gefunden. Ich vermute jedoch, dass da eine Firefox-Installation Und/oder der MacOS-Rechner und/oder der DSL-Anschluss Amok läuft und der Rechner ziemlich genau alle 30 Sekunden einen Seitenabruf über eine PPPoE-Verbindung initiiert, die jedes Mal neu verbunden wird.

Was kann man dagegen tun? Sehr gute Frage – eigentlich nichts sinnvolles. Einzelne IP-Adressen sperren, macht keinen Sinn, dazu sind es schlicht zu viele und dazu gibt es auch noch keine Systematik, schließlich kommen die IP-Adressen aus einem riesigen IP-Adresspool. Übrig bliebe nur auf dem Webserver die Sperrung des gesamten, betroffenen IP-Adressblocks, das wäre jedoch unverhältnismäßig gewesen. Einzig eine Beschwerde an den ISP wäre naheliegend, wenn auch sehr aufwendig. Bis der ISP das Problem gelöst bekommt …

Wir hatten Glück, das Problem verschwand Dienstagmittag genauso schnell, wie es gekommen war. Dienstagvormittag fing es zwar wieder an, irgendwann hörte es dann aber von allein wieder auf.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *