https://www.opennet.dev/openforum/vsluhforumID1/74135.html Некий нехороший человек научился "вешать" apache нашего сервера. Утверждает, что использользует прокси сервера, генерирует множество запросов, сейчас уже шантажирует. Проект коммерческий, идут убытки... <br><br>Симтомы следующие: <br>1. Load Averages из команды top падает почти до 0. <br>2. Работает 250 httpd процессов, т.е. максимум, определенный в httpd.conf директивой MaxClients. <br>3. При запросе к web страничкам через браузер происходит задержка секунд на 10-20, а затем ошибка "Невозможно отобразить страницу". Если раз 10 нажимать "обновить страницу" - может показаться. <br>4. Другие серсисы сервера (FTP, SSH, ...) работают нормально. <br>5. Некоторые строчки из httpd.conf: <br><br>Timeout 20 <br>KeepAlive On <br>MaxKeepAliveRequests 100 <br>KeepAliveTimeout 5 <br><br>&lt;IfModule prefork.c&gt; <br>StartServers 5 <br>MinSpareServers 5 <br>MaxSpareServers 10 <br>MaxClients 250 <br>MaxRequestsPerChild 0 <br>&lt;/IfModule&gt; <br><br>Пробую с ними "играться", но не помогает. <br><br>6. На сервере 3 Гб ОЗУ, процессор P4 3000. Операционка - FreeBSD 5.4 <br>7. Поставил https://www.opennet.dev/openforum/vsluhforumID1/74135.html#7 Wed, 23 Oct 2013 15:14:47 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; proxy_buffer_size 1k; <br>&gt; <br>&gt; proxy_buffers <br>&gt; 4 32k; <br>&gt; <br>&gt; proxy_busy_buffers_size 64k; <br>&gt; <br>&gt; proxy_temp_file_write_size 64k; <br>&gt; Подскажите, как решить проблему <br><br>Решено, это не был DoS, не хватал прямыерукипрограмиста.lib.so<br> https://www.opennet.dev/openforum/vsluhforumID1/74135.html#6 Wed, 09 Oct 2013 12:45:05 GMT Привет всем!<br><br>Раз нашел подходящую проблему, не стал открывать новую тему.<br><br>Проблема почти та же самая - конкретно происходить вот что:<br><br>Приходят множество соединении извне, вешаются на апач и начинают качать данные на очень малой скорости.<br><br><br>установлен nginx version: nginx/1.5.5 как прокси и Apache/2.2.25.<br>Сервер сам Centos 6.4 x86_64 ядро 2.6.32-358.18.1.el6.x86_64.<br>Конфиг нгинкса:<br><br>user nginx;<br>worker_processes 10;<br>worker_rlimit_nofile 100000;<br><br> sendfile on;<br> tcp_nopush on;<br> tcp_nodelay on;<br> server_tokens off;<br> gzip on;<br> gzip_static on;<br> gzip_comp_level 5;<br> gzip_min_length 1024;<br> keepalive_timeout 5 5;<br> limit_conn_zone $binary_remote_addr zone=addr:10m;<br><br> proxy_redirect off;<br> proxy_set_header Host $host;<br> proxy_set_header X-Real-IP $remote_addr;<br> proxy_set_header X-Forwarded-For<br> $proxy_add_x_forwarded_for;<br> client_max_body_size https://www.opennet.dev/openforum/vsluhforumID1/74135.html#5 Mon, 21 May 2007 20:31:43 GMT рад, что помог )<br>а спасибо - игорю сысоеву за замечательный инструмент ) https://www.opennet.dev/openforum/vsluhforumID1/74135.html#4 Mon, 21 May 2007 19:11:24 GMT &gt;судя по всему, открывает 250 коннектов с разных ip и "держит" их, <br>&gt;например забирая инфу со скоростью типа 1 байт/сек. <br>&gt;Отсюда - все 250 процессов и нулевой LA, ибо они просто покуривая <br>&gt;потихоньку, отдают контент <br>&gt;посмотрите по логам, сколько там отбивок соединения по таймауту. При нормальном функционировании <br>&gt;их практически не должно быить. <br>&gt;Попробуйте поставить nginx перед апачем. <br>&gt;Это должно решить вашу проблему + такое решение вам даст хороший задел <br>&gt;на будущее. <br><br>Решение проблемы найдено. Поставил nginx как проски сервер (на той же машине, где и Apache). Результат потрясающий. Если ранее работало по 200-250 процессов Apach`а, то сейчас всего 10-20. Расход памяти снизился многократно, load averages уменьшился процентов на 20. От хакерской нет и следа. Это волшебство! А сама атака атака заключалась в следующем: берем 250 прокси серверов, открываем 250 соединений, медленно что-то нибудь качаем. Apache оказывается в отключке, его архитектура подразумевает отдельный процесс под каждое соед https://www.opennet.dev/openforum/vsluhforumID1/74135.html#3 Fri, 18 May 2007 10:26:29 GMT &gt;Некий нехороший человек научился "вешать" apache нашего сервера. Утверждает, что использользует прокси <br>&gt;сервера, генерирует множество запросов, сейчас уже шантажирует. Проект коммерческий, идут убытки... <br>&gt;<br>&gt;<br>&gt;Симтомы следующие: <br>&gt;1. Load Averages из команды top падает почти до 0. <br>&gt;2. Работает 250 httpd процессов, т.е. максимум, определенный в httpd.conf директивой MaxClients. <br>&gt;<br>&gt;3. При запросе к web страничкам через браузер происходит задержка секунд на <br>&gt;10-20, а затем ошибка "Невозможно отобразить страницу". Если раз 10 нажимать <br>&gt;"обновить страницу" - может показаться. <br>&gt;4. Другие серсисы сервера (FTP, SSH, ...) работают нормально. <br>&gt;5. Некоторые строчки из httpd.conf: <br>&gt;<br>&gt;Timeout 20 <br>&gt;KeepAlive On <br>&gt;MaxKeepAliveRequests 100 <br>&gt;KeepAliveTimeout 5 <br>&gt;<br>&gt;&lt;IfModule prefork.c&gt; <br>&gt;StartServers 5 <br>&gt;MinSpareServers 5 <br>&gt;MaxSpareServers 10 <br>&gt;MaxClients 250 <br>&gt;MaxRequestsPerChild 0 <br>&gt;&lt;/IfModule&gt; <br>&gt;<br>&gt;Пробую с ними "играться", но не помогает. <br>&gt;<br>&gt;6. На сервере 3 Гб ОЗУ, процессор P4 3000. https://www.opennet.dev/openforum/vsluhforumID1/74135.html#2 Fri, 18 May 2007 10:18:05 GMT судя по всему, открывает 250 коннектов с разных ip и "держит" их, например забирая инфу со скоростью типа 1 байт/сек.<br>Отсюда - все 250 процессов и нулевой LA, ибо они просто покуривая потихоньку, отдают контент<br>посмотрите по логам, сколько там отбивок соединения по таймауту. При нормальном функционировании их практически не должно быить. <br>Попробуйте поставить nginx перед апачем.<br>Это должно решить вашу проблему + такое решение вам даст хороший задел на будущее. https://www.opennet.dev/openforum/vsluhforumID1/74135.html#1 Fri, 18 May 2007 09:09:04 GMT Используйте пакетный фильтр. <br>man pf.conf<br>max-src-conn, max-src-conn-rate