Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Как защитить сервер от такого флуда?

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Описание: ab -n 10000 -c 1000
Поиск в теме | Версия для печати
Klinch
Отправлено: 15 Февраля, 2014 - 12:28:14
Post Id


Частый гость


Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
Здравствуйте!

Как защитить сервер от такого флуда бенчмарком "ab"?
Есть 2 сервера. Попробовал с одного отправить такой флуд на второй - второй начал глючить, в процессах появилось куча apache2 (общ количество процессов дошло до 250-300)

Как можно защититься от этого флуда? Ведь любой человек, который располагает SSH доступом к своему хостингу, может взять и зафлудить весь сервер.

Пробовал ограничить число процессов через ServerLimit - не помогает.

На сервере установлена связка nginx + apache. php работает как модуль apache.

(Отредактировано автором: 15 Февраля, 2014 - 12:29:50)

 
 Top
EuGen Администратор
Отправлено: 15 Февраля, 2014 - 12:45:46
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)
Вариантов может быть несколько, но они не относятся только к настройке непосредственно веб-сервера. Речь идёт о нежелательных соединениях - и можно поручить эту работу фаерволу. Например, ограничить число соединений по HTTP с одного хоста.

Убедитесь, что есть кэширование (на том, что можно кешировать) - чтобы не создавать лишние процессы на запросы, где это не требуется. Ну и кроме автоматики есть логи - пусть фаервол и защитит от подобного в большинстве случаев, особенно упорные могут менять адреса, или, ещё хуже, организовать DDoS (в этом есть и хорошая сторона - Ваш проект достоин того, чтобы такую атаку проводили, есть над чем задуматься).


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
Klinch
Отправлено: 15 Февраля, 2014 - 13:20:08
Post Id


Частый гость


Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
EuGen пишет:
Вариантов может быть несколько, но они не относятся только к настройке непосредственно веб-сервера. Речь идёт о нежелательных соединениях - и можно поручить эту работу фаерволу. Например, <a href='http://www[dot]cyberciti[dot]biz/faq/ipt[dot][dot][dot]9;>ограничить число соединений</a> по HTTP с одного хоста.

Убедитесь, что есть кэширование (на том, что можно кешировать) - чтобы не создавать лишние процессы на запросы, где это не требуется. Ну и кроме автоматики есть логи - пусть фаервол и защитит от подобного в большинстве случаев, особенно упорные могут менять адреса, или, ещё хуже, организовать DDoS (в этом есть и хорошая сторона - Ваш проект достоин того, чтобы такую атаку проводили, есть над чем задуматься).


Мой проект - хостинг компания. Живу далеко не в России, а там, где хостинг еще не совсем развит) Нанимать опытного программиста в этой сфере сейчас дорого, да и сам я хочу научиться. ДДосить могут сайты клиентов.

p.s. т.е. вот этого:
CODE (htmlphp):
скопировать код в буфер обмена
  1. /sbin/iptables  -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT --reject-with tcp-reset

должно хватить на первое время?
 
 Top
EuGen Администратор
Отправлено: 15 Февраля, 2014 - 13:39:27
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)
На первое время - думаю, да. От атак с одного адреса вполне сгодится.


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
Klinch
Отправлено: 15 Февраля, 2014 - 14:17:46
Post Id


Частый гость


Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
EuGen

Большое спасибо!
А на будущее что посоветуете? Только фильтрацию типа Kaspersky DDos Prevention?

Есть еще такой вопрос - если купить отдельный сервер для фильтрации от DDos и поставить его перед основным кластером где расположены веб-сайты клиентов, т.е. сделать то-же самое, что делают анти-ддос сервисы, но исключительно для себя и своими силами. Очень сложно ли настроить этот сервер так, чтобы он фильтровал ддос? Может есть какие-то утилиты (пусть даже платные)?

И есть еще вопрос - что лучше читать для того, чтобы разобраться в основах защиты от дос атак? iptables, или сначала досконально изучить apache и nginx?
 
 Top
EuGen Администратор
Отправлено: 15 Февраля, 2014 - 14:20:45
Post Id


Профессионал


Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007  
Откуда: Berlin


Помог: 707 раз(а)
Klinch пишет:
Большое спасибо!
А на будущее что посоветуете? Только фильтрацию типа Kaspersky DDos Prevention?

Смотря какое будущее. Если DDoS сопряжён с обычно высокой нагрузкой на серверы (то есть проект high-load), то программными решениями вряд ли удастся обойтись. В ход обычно идёт дорогостоящее оборудование наподобие PIX и им подобным. Вот только стоит понимать, "стоит ли игра свеч".


-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
 
 Top
Klinch
Отправлено: 16 Февраля, 2014 - 10:11:30
Post Id


Частый гость


Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
EuGen пишет:
Klinch пишет:
Большое спасибо!
А на будущее что посоветуете? Только фильтрацию типа Kaspersky DDos Prevention?

Смотря какое будущее. Если DDoS сопряжён с обычно высокой нагрузкой на серверы (то есть проект high-load), то программными решениями вряд ли удастся обойтись. В ход обычно идёт дорогостоящее оборудование наподобие PIX и им подобным. Вот только стоит понимать, "стоит ли игра свеч".


т.е., к примеру, межсетевой экран Cisco PIX 515E сможет фильтровать DDos-атаки? В интернете чтото совсем мало информации. Если, допустим, купить его и просто выполнить стандартную настройку (прочитал, что там легкая настройка через веб-интерфейс), он уже сможет защитить ДЦ от DDos? Или опять-же нужна настройка, которую смогут выполнить только профессионалы в этом деле?
 
 Top
Klinch
Отправлено: 19 Февраля, 2014 - 05:17:31
Post Id


Частый гость


Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012  


Помог: 0 раз(а)
Нашел в настройках безопасности своего маршрутизатора такую функцию (на скриншоте)

Ктонибудь такой пользовался? Действительно ли это работает и даёт хоть какойто эффект?
Прикреплено изображение (Нажмите для увеличения)
Безымянный.png
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Apache и другие веб-серверы »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB