Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: CTRL+R / CTRL+F5 - DoS-атака на веб-сервер
Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012
Помог: 0 раз(а)
Доброго времени суток!
Имеется веб-сервер (apache+nginx в связке) на Linux Debian 8. Если зайти на веб-сайт, размещенный на этом веб-сервере и зажать комбинацию клавиш CLTR+R / CTRL+F5 (получается флуд обновлением страницы), сервер довольно быстро грузится - процессоры используются на 100%, ОЗУ загружается на 100%.
Уже довольно много статей перечитал, хотя, может не в том направлении ищу...
Я пробовал поставить такие правила iptables:
Это помогает от такие программ как, например ioncube loader при атаке с одного адреса. Но в случае с CTRL+R данное правило почему-то оказывается совершенно бессильным.
Прошу помочь подправить правило для его эффективной работы, или хотя-бы подсказать в каком направлении рыть (что искать, что блокировать). Буду очень признателен! Заранее спасибо!
Viper
Отправлено: 15 Апреля, 2016 - 01:00:28
Активный участник
Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007 Откуда: Симферополь
Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012
Помог: 0 раз(а)
Обычный веб-сайт на Wordpress (+ Woocommerce) с использованием одного из бесплатных шаблонов, доступных для скачивания. На сколько я знаю, Wordpress в стоке не имеет нормального механизма кеширования. Но кеш есть на стороне mysql-сервера, а также используется кеширование средствами nginx.
Вчера с помощью настроек apache ограничил для пользователей сервера:
* Объём используемой оперативной памяти
* Количество процессов
* Процессорное время
* Кол-во одновременных соединений на сессию с одного IP
* Количество обработчиков Apache для домена
Это немного дало результаты, теперь хотя-бы ОЗУ не забивается так сильно, да и к процессору задач идёт поменьше. Но ядра процессоров загружены на 100% и всё же атака ощутима для сервера.
Хотелось бы лучших результатов, а это, наверное, даст только firewall? Или же надо покупать нормальный роутер и ставить его перед сервером, который будет заниматься фильтрацией таких атак?
skiphog
Отправлено: 15 Апреля, 2016 - 12:36:51
Частый гость
Покинул форум
Сообщений всего: 139
Дата рег-ции: Дек. 2014 Откуда: Киров, Россия
Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007 Откуда: Симферополь
Помог: 98 раз(а)
Klinch пишет:
Хотелось бы лучших результатов, а это, наверное, даст только firewall? Или же надо покупать нормальный роутер и ставить его перед сервером, который будет заниматься фильтрацией таких атак?
за предсказаниями к гадалкам. Нет информации о конфигурации сети - нет и ответа.
Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012
Помог: 0 раз(а)
skiphog
Спасибо! Полезная штука с понятной документацией, буду разбираться и может что получиться)
Viper
В данный момент, от коммутатора интернет-провайдера (который подключен по оптоволокну) идёт витая пара к моему L1 Хабу, от него идут витые пары к серверам.
Подключение выполняется по статике, на белых IP. т.е. на сетевые интерфейсы серверов просто вешаются IP из блока, выдаваемого провайдером и сервер получает доступ к сети.
Понимаю, что по уму вместо L1 Хаба там должен стоять нормальный управляемый роутер, но пока-что нам это не обязательно, да и средств на его покупку нет (покупать дешевое г*вно не хотим). Однако, если это необходимо для более-менее нормальной защиты от DoS-атак, мы будем собирать средства на покупку роутера. Но хотелось бы пока обойтись каким-нибудь более простым временным решением.
Спасибо!
Viper
Отправлено: 15 Апреля, 2016 - 15:16:18
Активный участник
Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007 Откуда: Симферополь
Помог: 98 раз(а)
Klinch пишет:
Однако, если это необходимо для более-менее нормальной защиты от DoS-атак, мы будем собирать средства на покупку роутера.
тут зависит от бюджета. Дешево и сердито софтварным вариантом, хотя это не спасет от "забития" канала.
Предположу, что потому, что это правило сбрасывает соединение, когда их слишком много. А в случае с CTRL+R соединений не так много и правило не работает. А нагрузка высокая просто потому, что Wordpress требователен к ресурсам?
Viper
Отправлено: 15 Апреля, 2016 - 20:44:51
Активный участник
Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007 Откуда: Симферополь
Помог: 98 раз(а)
Klinch пишет:
Предположу, что потому, что это правило сбрасывает соединение, когда их слишком много. А в случае с CTRL+R соединений не так много и правило не работает.
Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012
Помог: 0 раз(а)
Viper пишет:
без комментариев Кеширование вам может помочь.
Поставил плагин WP Super Cache, настроил. Теперь и сайт быстрее работает, и нагрузки от этого гораздо меньше.
Тем не менее, всё равно буду пытаться сделать защиту от такого флуда, ибо кеш - это костыль, а не реальное решение
Viper
Отправлено: 17 Апреля, 2016 - 18:07:00
Активный участник
Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007 Откуда: Симферополь
Помог: 98 раз(а)
Klinch пишет:
ибо кеш - это костыль
вы не правы. Просто в вашем случае нужно ещё и фаервол настроить.
Покинул форум
Сообщений всего: 214
Дата рег-ции: Июль 2012
Помог: 0 раз(а)
Да, неправильно выразился - конкретно в моём случае он костыль
Дело в том, что на сервере крутятся, скажем так, клиентские приложения. Владельцы этих приложений периодически вносят изменения в свои веб-сайты, а также время от времени владельцы приложений меняются, появляются новые, уходят старые. Каждый городит у себя то, что ему хочется - в основном это Wordpress. Поэтому, каждый раз объяснять и принуждать каждого владельца к установке кеша на вордпресс - не вариант...
Нашел в интернете несколько интересных статей по настройке фаерволла, на днях попытаюсь что-нибудь соорудить и если получится, напишу сюда - будет полезно, ибо реально рабочих подобных инструкций для новичков я не нашел
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.