]> git.openstreetmap.org Git - nominatim.git/blob - utils/cron_banip.py
Merge remote-tracking branch 'upstream/master'
[nominatim.git] / utils / cron_banip.py
1 #!/usr/bin/python
2 #
3 # Search logs for high-bandwith users and create a list of suspicious IPs.
4 # There are three states: bulk, block, ban. The first are bulk requesters
5 # that need throtteling, the second bulk requesters that have overdone it
6 # and the last manually banned IPs.
7 #
8 # The list can then be used in apache using rewrite rules to
9 # direct bulk users to smaller thread pools or block them. A
10 # typical apache config that uses php-fpm pools would look
11 # like this:
12 #
13 #    Alias /nominatim-www/ "/var/www/nominatim/"
14 #    Alias /nominatim-bulk/ "/var/www/nominatim/"
15 #    <Directory "/var/www/nominatim/">
16 #        Options MultiViews FollowSymLinks
17 #        AddType text/html   .php
18 #    </Directory>
19 #
20 #    <Location /nominatim-www>
21 #        AddHandler fcgi:/var/run/php5-fpm-www.sock .php
22 #    </Location>
23 #    <Location /nominatim-bulk>
24 #        AddHandler fcgi:/var/run/php5-fpm-bulk.sock .php
25 #    </Location>
26 #
27 #    Redirect 509 /nominatim-block/
28 #    ErrorDocument 509 "Bandwidth limit exceeded."
29 #    Redirect 403 /nominatim-ban/
30 #    ErrorDocument 403 "Access blocked."
31 #
32 #    RewriteEngine On
33 #    RewriteMap bulklist txt:/home/wherever/ip-block.map
34 #    RewriteRule ^/(.*) /nominatim-${bulklist:%{REMOTE_ADDR}|www}/$1 [PT]
35 #
36
37 import os
38 import psycopg2
39 import datetime
40
41 BASEDIR = os.path.normpath(os.path.join(os.path.realpath(__file__), '../..'))
42
43 #
44 # DEFAULT SETTINGS
45 #
46 # Copy into settings/ip_blcoks.conf and adapt as required.
47 #
48 BLOCKEDFILE= BASEDIR + '/settings/ip_blocks.map'
49 LOGFILE= BASEDIR + '/log/restricted_ip.log'
50
51 # space-separated list of IPs that are never banned
52 WHITELIST = ''
53 # space-separated list of IPs manually blocked
54 BLACKLIST = ''
55 # user-agents that should be blocked from bulk mode
56 # (matched with startswith)
57 UA_BLOCKLIST = ()
58
59 # time before a automatically blocked IP is allowed back
60 BLOCKCOOLOFF_PERIOD='1 hour'
61 # quiet time before an IP is released from the bulk pool
62 BULKCOOLOFF_PERIOD='15 min'
63
64 BULKLONG_LIMIT=8000
65 BULKSHORT_LIMIT=2000
66 BLOCK_UPPER=19000
67 BLOCK_LOWER=4000
68 BLOCK_LOADFAC=380
69 BULK_LOADFAC=160
70 BULK_LOWER=1500
71 MAX_BULK_IPS=85
72
73 #
74 # END OF DEFAULT SETTINGS
75 #
76
77 try:
78     execfile(os.path.expanduser(BASEDIR + "/settings/ip_blocks.conf"))
79 except IOError:
80     pass
81
82 # read the previous blocklist
83 WHITELIST = set(WHITELIST.split()) if WHITELIST else set()
84 prevblocks = []
85 prevbulks = []
86 BLACKLIST = set(BLACKLIST.split()) if BLACKLIST else set()
87 newblocks = set()
88 newbulks = set()
89
90 try:
91     fd = open(BLOCKEDFILE)
92     for line in fd:
93         ip, typ = line.strip().split(' ')
94         if ip not in BLACKLIST:
95             if typ == 'block':
96                 prevblocks.append(ip)
97             elif typ == 'bulk':
98                 prevbulks.append(ip)
99     fd.close()
100 except IOError:
101     pass #ignore non-existing file
102
103 # determine current load
104 fd = open("/proc/loadavg")
105 avgload = int(float(fd.readline().split()[2]))
106 fd.close()
107 # DB load
108 conn = psycopg2.connect('dbname=nominatim')
109 cur = conn.cursor()
110 cur.execute("select count(*)/60 from new_query_log where starttime > now() - interval '1min'")
111 dbload = int(cur.fetchone()[0])
112
113 BLOCK_LIMIT = max(BLOCK_LOWER, BLOCK_UPPER - BLOCK_LOADFAC * (dbload - 75))
114 BULKLONG_LIMIT = max(BULK_LOWER, BULKLONG_LIMIT - BULK_LOADFAC * (avgload - 14))
115 if len(prevbulks) > MAX_BULK_IPS:
116     BLOCK_LIMIT = max(3600, BLOCK_LOWER - (len(prevbulks) - MAX_BULK_IPS)*10)
117
118 # get the new block candidates
119 cur.execute("""
120   SELECT ipaddress, max(count), max(ua) FROM
121    ((SELECT * FROM
122      (SELECT ipaddress, sum(case when endtime is null then 1 else 1+1.5*date_part('epoch',endtime-starttime) end) as count, substring(max(useragent) from 1 for 30) as ua FROM new_query_log
123       WHERE starttime > now() - interval '1 hour' GROUP BY ipaddress) as i
124    WHERE count > %s)
125    UNION
126    (SELECT ipaddress, count * 3, ua FROM
127      (SELECT ipaddress, sum(case when endtime is null then 1 else 1+1.5*date_part('epoch',endtime-starttime) end) as count, substring(max(useragent) from 1 for 30) as ua FROM new_query_log 
128       WHERE starttime > now() - interval '10 min' GROUP BY ipaddress) as i
129    WHERE count > %s)) as o
130   GROUP BY ipaddress
131 """, (BULKLONG_LIMIT, BULKSHORT_LIMIT))
132
133 bulkips = {}
134 emergencyblocks = []
135 useragentblocks = []
136
137 for c in cur:
138     if c[0] not in WHITELIST and c[0] not in BLACKLIST:
139         # check for user agents that receive an immediate block
140         missing_agent = not c[2]
141         if not missing_agent:
142             for ua in UA_BLOCKLIST:
143                 if c[2].startswith(ua):
144                     missing_agent = True
145                     break
146         if (missing_agent or c[1] > BLOCK_UPPER) and c[0] not in prevblocks:
147             newblocks.add(c[0])
148             if missing_agent:
149                 useragentblocks.append(c[0])
150             else:
151                 emergencyblocks.append(c[0])
152         else:
153             bulkips[c[0]] = c[1]
154
155 # IPs from the block list that are no longer in the bulk list
156 deblockcandidates = set()
157 # IPs from the bulk list that are no longer in the bulk list
158 debulkcandidates = set()
159 # new IPs to go into the block list
160 newlyblocked = []
161
162
163 for ip in prevblocks:
164     if ip in bulkips:
165         newblocks.add(ip)
166         del bulkips[ip]
167     else:
168         deblockcandidates.add(ip)    
169         
170 for ip in prevbulks:
171     if ip not in newblocks:
172         if ip in bulkips:
173             if bulkips[ip] > BLOCK_LIMIT:
174                 newblocks.add(ip)
175                 newlyblocked.append(ip)
176             else:
177                 newbulks.add(ip)
178             del bulkips[ip]
179         else:
180             debulkcandidates.add(ip)
181
182 # cross-check deblock candidates
183 if deblockcandidates:
184     cur.execute("""
185         SELECT DISTINCT ipaddress FROM new_query_log
186         WHERE ipaddress IN ('%s') AND starttime > now() - interval '%s'
187         """ % ("','".join(deblockcandidates), BLOCKCOOLOFF_PERIOD))
188
189     for c in cur:
190         newblocks.add(c[0])
191         deblockcandidates.remove(c[0])
192 # deblocked IPs go back to the bulk pool to catch the ones that simply
193 # ignored the HTTP error and just continue to hammer the API.
194 # Those that behave and stopped will be debulked a minute later.
195 for ip in deblockcandidates:
196     newbulks.add(ip)
197
198 # cross-check debulk candidates
199 if debulkcandidates:
200     cur.execute("""
201         SELECT DISTINCT ipaddress FROM new_query_log
202         WHERE ipaddress IN ('%s') AND starttime > now() - interval '%s'
203         AND starttime > date_trunc('day', now())
204         """ % ("','".join(debulkcandidates), BULKCOOLOFF_PERIOD))
205
206     for c in cur:
207         newbulks.add(c[0])
208         debulkcandidates.remove(c[0])
209
210 for ip in bulkips.iterkeys():
211     newbulks.add(ip)
212
213 # write out the new list
214 fd = open(BLOCKEDFILE, 'w')
215 for ip in newblocks:
216     fd.write(ip + " block\n")
217 for ip in newbulks:
218     fd.write(ip + " bulk\n")
219 for ip in BLACKLIST:
220     fd.write(ip + " ban\n")
221 fd.close()
222
223 # write out the log
224 logstr = datetime.datetime.now().strftime('%Y-%m-%d %H:%M') + ' %s %s\n'
225 fd = open(LOGFILE, 'a')
226 if deblockcandidates:
227     fd.write(logstr % ('unblocked:', ', '.join(deblockcandidates)))
228 if debulkcandidates:
229     fd.write(logstr % (' debulked:', ', '.join(debulkcandidates)))
230 if bulkips:
231     fd.write(logstr % ('new bulks:', ', '.join(bulkips.keys())))
232 if emergencyblocks:
233     fd.write(logstr % ('dir.block:', ', '.join(emergencyblocks)))
234 if useragentblocks:
235     fd.write(logstr % (' ua block:', ', '.join(useragentblocks)))
236 if newlyblocked:
237     fd.write(logstr % ('new block:', ', '.join(newlyblocked)))
238 fd.close()