
<div dir="ltr"><div dir="ltr"><div dir="ltr">We also received lots requests from <a href="http://27.221.66.0/24">27.221.66.0/24</a>.</div><div dir="ltr"><br><div><div>aveline@mirror-iad01-a:~# sudo grep iso /var/log/nginx/mirrors.access.log | awk '{ print $1 }' | sort -n | uniq -c | sort -nr</div><div>    178 27.221.66.133</div><div>    176 27.221.66.144</div><div>    163 27.221.66.143</div><div>    163 27.221.66.132</div><div>    158 27.221.66.138</div><div>    155 27.221.66.141</div><div>    153 27.221.66.131</div><div>    150 27.221.66.149</div><div>    144 27.221.66.147</div><div>    137 27.221.66.142</div><div>    136 27.221.66.136</div><div>    136 27.221.49.135</div><div>    133 27.221.66.154</div><div>    133 27.221.66.134</div><div>    131 27.221.66.151</div><div>    131 27.221.66.146</div><div>    130 27.221.66.137</div><div>    124 27.221.66.139</div><div>    120 27.221.66.153</div><div>    102 27.221.66.148</div><div>     93 27.221.66.152</div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jul 2, 2020 at 2:14 PM mirror-admin <<a href="mailto:mirror-admin@labkom.id">mirror-admin@labkom.id</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>

<br>

we got request from fraction of subnet <a href="http://27.221.66.0/24" rel="noreferrer" target="_blank">27.221.66.0/24</a><br>

<br>

thx<br>

<br>

On 7/2/2020 12:52, services via arch-mirrors wrote:<br>

<br>

> Hello,<br>

><br>

> Same case here.<br>

><br>

> Impact is low here (via one ip only), because a file which don't exist <br>

> (old iso) :<br>

> arch//iso/2020.03.01/archlinux-2020.03.01-x86_64.iso" failed (2: No <br>

> such file or directory)<br>

><br>

> Can you share ip on the list for compare and block all ip before ddos ?<br>

><br>

> Regards,<br>

> Eric.<br>

><br>

> On 7/2/2020 5:02 AM, mirror-admin wrote:<br>

>> Hello,<br>

>><br>

>> Yes, we notice same download pattern from china IP. Not only for <br>

>> Archlinux, but for other archive as well.<br>

>><br>

>> What we do is try to be nice, we throttling down our upload speed to <br>

>> their IP.<br>

>><br>

>> Thx<br>

>><br>

>> On 7/2/2020 09:49, Johannes Findeisen wrote:<br>

>>> Hello,<br>

>>><br>

>>> I am driving the mirror <a href="http://arch.unixpeople.org" rel="noreferrer" target="_blank">arch.unixpeople.org</a>. Since some months I<br>

>>> encounter a lot of traffic from China which seems to be like a DDoS. I<br>

>>> fixed this some month ago by blocking all IP address ranges from China.<br>

>>> This stopped the traffic. Yesterday I tried to remove all my firewall<br>

>>> rules and to see what happens... Just some hours ago the DDoS startet<br>

>>> again so I really had to block China from my mirror again because it<br>

>>> would become a fulltime job to monitor my host.<br>

>>><br>

>>> While all this happened I tried to figure out what's going on and saw<br>

>>> endless downloads of the arch .iso file from many many IP addresses in<br>

>>> China. When the download from one IP had finished the download directly<br>

>>> started again from exactly the same IP in an endless loop.<br>

>>><br>

>>> Does anyone other here encounter such things?<br>

>>><br>

>>> Regards<br>

>>><br>

>>> Johannes<br>

</blockquote></div>