PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

CTRL+R / CTRL+F5 - DoS-атака на веб-сервер

Форумы портала PHP.SU » Серверное администрирование » Apache и другие веб-серверы (Модератор: EuGen)

Страниц (1): [1]

Описание: Защита

Поиск в теме | Версия для печати

Klinch	Отправлено: 14 Апреля, 2016 - 23:48:32
Частый гость Покинул форум Сообщений всего: 214 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	Доброго времени суток! Имеется веб-сервер (apache+nginx в связке) на Linux Debian 8. Если зайти на веб-сайт, размещенный на этом веб-сервере и зажать комбинацию клавиш CLTR+R / CTRL+F5 (получается флуд обновлением страницы), сервер довольно быстро грузится - процессоры используются на 100%, ОЗУ загружается на 100%. Уже довольно много статей перечитал, хотя, может не в том направлении ищу... Я пробовал поставить такие правила iptables: PHP: скопировать код в буфер обмена /sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT --reject-with tcp-reset /sbin/iptables -A INPUT -p tcp --syn --dport 443 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT --reject-with tcp-reset Это помогает от такие программ как, например ioncube loader при атаке с одного адреса. Но в случае с CTRL+R данное правило почему-то оказывается совершенно бессильным. Прошу помочь подправить правило для его эффективной работы, или хотя-бы подсказать в каком направлении рыть (что искать, что блокировать). Буду очень признателен! Заранее спасибо!

Viper	Отправлено: 15 Апреля, 2016 - 01:00:28
Активный участник Покинул форум Сообщений всего: 4555 Дата рег-ции: Февр. 2007 Откуда: Симферополь Помог: 98 раз(а)	Удаление зубов ядерной ракетой... Оригинально... Klinch пишет: на веб-сайт с этого места подробнее. ----- Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе

Klinch	Отправлено: 15 Апреля, 2016 - 10:17:36
Частый гость Покинул форум Сообщений всего: 214 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	Обычный веб-сайт на Wordpress (+ Woocommerce) с использованием одного из бесплатных шаблонов, доступных для скачивания. На сколько я знаю, Wordpress в стоке не имеет нормального механизма кеширования. Но кеш есть на стороне mysql-сервера, а также используется кеширование средствами nginx. Вчера с помощью настроек apache ограничил для пользователей сервера: * Объём используемой оперативной памяти * Количество процессов * Процессорное время * Кол-во одновременных соединений на сессию с одного IP * Количество обработчиков Apache для домена Это немного дало результаты, теперь хотя-бы ОЗУ не забивается так сильно, да и к процессору задач идёт поменьше. Но ядра процессоров загружены на 100% и всё же атака ощутима для сервера. Хотелось бы лучших результатов, а это, наверное, даст только firewall? Или же надо покупать нормальный роутер и ставить его перед сервером, который будет заниматься фильтрацией таких атак?

skiphog	Отправлено: 15 Апреля, 2016 - 12:36:51
Частый гость Покинул форум Сообщений всего: 139 Дата рег-ции: Дек. 2014 Откуда: Киров, Россия Помог: 11 раз(а)	http://4debian[dot]info/article/page[dot][dot][dot]stall-configure/

Viper	Отправлено: 15 Апреля, 2016 - 14:08:54
Активный участник Покинул форум Сообщений всего: 4555 Дата рег-ции: Февр. 2007 Откуда: Симферополь Помог: 98 раз(а)	Klinch пишет: Хотелось бы лучших результатов, а это, наверное, даст только firewall? Или же надо покупать нормальный роутер и ставить его перед сервером, который будет заниматься фильтрацией таких атак? за предсказаниями к гадалкам. Нет информации о конфигурации сети - нет и ответа. ----- Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе

Klinch	Отправлено: 15 Апреля, 2016 - 14:42:26
Частый гость Покинул форум Сообщений всего: 214 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	skiphog Спасибо! Полезная штука с понятной документацией, буду разбираться и может что получиться) Viper В данный момент, от коммутатора интернет-провайдера (который подключен по оптоволокну) идёт витая пара к моему L1 Хабу, от него идут витые пары к серверам. Подключение выполняется по статике, на белых IP. т.е. на сетевые интерфейсы серверов просто вешаются IP из блока, выдаваемого провайдером и сервер получает доступ к сети. Понимаю, что по уму вместо L1 Хаба там должен стоять нормальный управляемый роутер, но пока-что нам это не обязательно, да и средств на его покупку нет (покупать дешевое г*вно не хотим). Однако, если это необходимо для более-менее нормальной защиты от DoS-атак, мы будем собирать средства на покупку роутера. Но хотелось бы пока обойтись каким-нибудь более простым временным решением. Спасибо!

Viper	Отправлено: 15 Апреля, 2016 - 15:16:18
Активный участник Покинул форум Сообщений всего: 4555 Дата рег-ции: Февр. 2007 Откуда: Симферополь Помог: 98 раз(а)	Klinch пишет: Однако, если это необходимо для более-менее нормальной защиты от DoS-атак, мы будем собирать средства на покупку роутера. тут зависит от бюджета. Дешево и сердито софтварным вариантом, хотя это не спасет от "забития" канала. ----- Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе

Klinch	Отправлено: 15 Апреля, 2016 - 15:44:47
Частый гость Покинул форум Сообщений всего: 214 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	Viper Забитие канала, к сожалению, нам пока вряд-ли грозит А вот такие "школьные" атаки бывают... и у меня пока совсем нет опыта по отражению атак. Поэтому, лучше пока софтварным вариантом. Здесь, я так понимаю, поможет вариант от skiphog? Меня интересует, почему тут не срабатывает CODE (htmlphp): скопировать код в буфер обмена /sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT --reject-with tcp-reset ? Предположу, что потому, что это правило сбрасывает соединение, когда их слишком много. А в случае с CTRL+R соединений не так много и правило не работает. А нагрузка высокая просто потому, что Wordpress требователен к ресурсам?

Viper	Отправлено: 15 Апреля, 2016 - 20:44:51
Активный участник Покинул форум Сообщений всего: 4555 Дата рег-ции: Февр. 2007 Откуда: Симферополь Помог: 98 раз(а)	Klinch пишет: Предположу, что потому, что это правило сбрасывает соединение, когда их слишком много. А в случае с CTRL+R соединений не так много и правило не работает. те же яйца только в профиль. Klinch пишет: что Wordpress требователен к ресурсам без комментариев Кеширование вам может помочь. ----- Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе

Klinch	Отправлено: 17 Апреля, 2016 - 17:58:36
Частый гость Покинул форум Сообщений всего: 214 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	Viper пишет: без комментариев Кеширование вам может помочь. Поставил плагин WP Super Cache, настроил. Теперь и сайт быстрее работает, и нагрузки от этого гораздо меньше. Тем не менее, всё равно буду пытаться сделать защиту от такого флуда, ибо кеш - это костыль, а не реальное решение

Viper	Отправлено: 17 Апреля, 2016 - 18:07:00
Активный участник Покинул форум Сообщений всего: 4555 Дата рег-ции: Февр. 2007 Откуда: Симферополь Помог: 98 раз(а)	Klinch пишет: ибо кеш - это костыль вы не правы. Просто в вашем случае нужно ещё и фаервол настроить. ----- Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе

Klinch	Отправлено: 18 Апреля, 2016 - 02:57:40
Частый гость Покинул форум Сообщений всего: 214 Дата рег-ции: Июль 2012 Помог: 0 раз(а)	Да, неправильно выразился - конкретно в моём случае он костыль Дело в том, что на сервере крутятся, скажем так, клиентские приложения. Владельцы этих приложений периодически вносят изменения в свои веб-сайты, а также время от времени владельцы приложений меняются, появляются новые, уходят старые. Каждый городит у себя то, что ему хочется - в основном это Wordpress. Поэтому, каждый раз объяснять и принуждать каждого владельца к установке кеша на вордпресс - не вариант... Нашел в интернете несколько интересных статей по настройке фаерволла, на днях попытаюсь что-нибудь соорудить и если получится, напишу сюда - будет полезно, ибо реально рабочих подобных инструкций для новичков я не нашел

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Apache и другие веб-серверы »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.