Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Как грамотно защитится от ДДоС
Покинул форум
Сообщений всего: 5025
Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов
Помог: 127 раз(а)
есть VDS от хетцнера. Стоит убунта. Подскажите как защитится от ДДоС-а. Приходит на ум iptables, но как уловить много конектов от разных IP. В общем буду рад любим рекомендациям.
EuGen
Отправлено: 10 Июня, 2013 - 20:57:24
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Если Вы понимаете, что такое DDoS, то доллжны знать, что на уровне приложения или даже отдельного сервера эффективно с ним бороться крайне трудно. Здесь в ход идёт аппаратная защита, в основном, которая проводит эвристический анализ и анализ скачков нагрузки (Cisco PIX-серия, к примеру). В частности, DPI - туда же, но всё это очень недёшево.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
Мелкий
Отправлено: 10 Июня, 2013 - 21:19:45
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Начать можно с настройки nginx'а. Он умеет ограничивать число соединений с ip.
----- PostgreSQL DBA
EuGen
Отправлено: 10 Июня, 2013 - 21:56:34
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Мелкий
Идея популярная, но плохая для тех ресурсов, которые получают высокую нагрузку штатно. Ограничивая пул соединений с 1 адреса в единицу времени есть риск отсечь хороших посетителей.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
esterio
Отправлено: 10 Июня, 2013 - 22:22:00
Активный участник
Покинул форум
Сообщений всего: 5025
Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов
Помог: 127 раз(а)
спасибо за отзывы. я почитал про ддос и как его едать. поспрашивал народ. в общем все верно. чисто на програмном уровне мало что получится. надеюсь что хецтнер обеспечит должную защиту
Мелкий
Отправлено: 10 Июня, 2013 - 22:51:33
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
EuGen пишет:
Ограничивая пул соединений с 1 адреса в единицу времени есть риск отсечь хороших посетителей.
Вроде бы любая защита от ddos предполагает такой риск. Вопрос количества ложных срабатываний и цены.
esterio пишет:
надеюсь что хецтнер обеспечит должную защиту
Не обеспечит. Наоборот, могут попросить переехать куда-нибудь.
----- PostgreSQL DBA
EuGen
Отправлено: 10 Июня, 2013 - 23:05:49
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Мелкий
Всё верно, но "лобовая" проверка редко применяется в случае, если подопытный ресурс относится к категории высоконагруженных (оно и понятно, там очень трудно отфильтровать через количество запросов, поскольку сами объемы большие). Вместо этого, как правило, применяют фильтры - то есть, исходя из некоторых контрольных статистических значений анализируемого трафика принимается решение о его пропускании. Оптимальнее всего это делается на аппаратном уровне (ПО попросту намного медленнее будет обрабатывать подобные вещи) - но некоторый простейший анализ можно применять и на уровне ПО. Например, если приходит запрос только на конкретную страницу, то, если в эту же секунду-две с этого же адреса нет запросов остального контента (стили, картинки и т.п.) - то этот запрос - "плохой" (вариант - кто-то вызвал страницу неумело напрямую через cURL, браузер точно запросил бы все остальные данные).
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
esterio
Отправлено: 10 Июня, 2013 - 23:29:41
Активный участник
Покинул форум
Сообщений всего: 5025
Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов
Помог: 127 раз(а)
Мелкий пишет:
Не обеспечит. Наоборот, могут попросить переехать куда-нибудь.
Да как-бы я паникнул. Нмкакого ДДоСа не было(спасибо DeepVarvar что обьяснил). но на будущее было бы не плохо. И да у нас трафик не большой. Так-что если начнутся пики сразу станет ясно.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.