forum.opennet.ru - "Для nginx подготовлен модуль для организации блокировки клие..." (20)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Для nginx подготовлен модуль для организации блокировки клие..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Для nginx подготовлен модуль для организации блокировки клие..."	+/–
Сообщение от opennews (??) on 27-Сен-13, 20:55
Для http-сервера nginx подготовлен (http://flant.ru/projects/nginx-http-rdns) модуль nginx-http-rdns (https://github.com/flant/nginx-http-rdns) с реализацией поддержки механизма контроля доступа по доменному имени клиента. Изначально nginx позволяет использовать в правилах только IP-адрес клиента, с которого поступил запрос. Представленный модуль с помощью rDNS-запроса выполняет преобразование IP в доменное имя и даёт возможность использования определённого имени хоста в правилах nginx. Например, можно сформировать простые списки контроля доступа на основе доменного имени, которые могут оказаться полезными при организации защиты от DDoS-атак или формирования списка исключений. URL: http://flant.ru/projects/nginx-http-rdns Новость: http://www.opennet.dev/opennews/art.shtml?num=38008
Ответить \| Правка \| Cообщить модератору

Оглавление

Для nginx подготовлен модуль для организации блокировки клие..., Аноним, 20:55 , 27-Сен-13, (1) +17

Для nginx подготовлен модуль для организации блокировки клие..., Аноним, 21:50 , 27-Сен-13, (3) +1
Для nginx подготовлен модуль для организации блокировки клие..., Аноним, 00:03 , 28-Сен-13, (6)

Для nginx подготовлен модуль для организации блокировки клие..., Аноним, 01:55 , 28-Сен-13, (8) +6

Для nginx подготовлен модуль для организации блокировки клие..., Аноним, 02:35 , 28-Сен-13, (12) +1

Для nginx подготовлен модуль для организации блокировки клие..., Dmitry Shurupov, 17:13 , 28-Сен-13, (17)

Для nginx подготовлен модуль для организации блокировки клие..., Vee Nee, 21:01 , 27-Сен-13, (2) +10

Для nginx подготовлен модуль для организации блокировки клие..., Аноним, 01:56 , 28-Сен-13, (9)

Для nginx подготовлен модуль для организации блокировки клие..., Аноним, 02:32 , 28-Сен-13, (10)

Для nginx подготовлен модуль для организации блокировки клие..., бедный буратино, 08:12 , 28-Сен-13, (14)

Для nginx подготовлен модуль для организации блокировки клие..., Sadok, 17:57 , 28-Сен-13, (18)

Для nginx подготовлен модуль для организации блокировки клие..., Аноним, 22:09 , 27-Сен-13, (5) +4

Для nginx подготовлен модуль для организации блокировки клие..., Аноним, 02:34 , 28-Сен-13, (11)
Для nginx подготовлен модуль для организации блокировки клие..., Dmitry Shurupov, 17:11 , 28-Сен-13, (16)

Для nginx подготовлен модуль для организации блокировки клие..., Sw00p aka Jerom, 00:17 , 28-Сен-13, (7)
Для nginx подготовлен модуль для организации блокировки клие..., бедный буратино, 07:01 , 28-Сен-13, (13)

Для nginx подготовлен модуль для организации блокировки клие..., Dmitry Shurupov, 16:39 , 28-Сен-13, (15)

Для nginx подготовлен модуль для организации блокировки клие..., Анонизм, 02:20 , 29-Сен-13, (19)

Для nginx подготовлен модуль для организации блокировки клие..., Dmitry Shurupov, 14:56 , 29-Сен-13, (20)

Для nginx подготовлен модуль для организации блокировки клие..., Timosha, 14:17 , 30-Сен-13, (21)

Сообщения по теме [Сортировка по времени | RSS]

1. "Для nginx подготовлен модуль для организации блокировки клие..." +17 +/–

Сообщение от Аноним (??) on 27-Сен-13, 20:55

Во время DDoS-атак только rDNS и не хватало.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Для nginx подготовлен модуль для организации блокировки клие..." +1 +/–

Сообщение от Аноним (??) on 27-Сен-13, 21:50

Рекурсивный ддос nginx)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Аноним (??) on 28-Сен-13, 00:03

Наверное, расчет идет на то, что есть локальный кэшер.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Для nginx подготовлен модуль для организации блокировки клие..." +6 +/–

Сообщение от Аноним (??) on 28-Сен-13, 01:55

Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Для nginx подготовлен модуль для организации блокировки клие..." +1 +/–

Сообщение от Аноним (??) on 28-Сен-13, 02:35

> Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...
И обязательно их все обновлять по истечении TTL.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Dmitry Shurupov (ok) on 28-Сен-13, 17:13

> Наверное, расчет идет на то, что есть локальный кэшер.
Используется стандартный resolver из HttpCoreModule.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

2. "Для nginx подготовлен модуль для организации блокировки клие..." +10 +/–

Сообщение от Vee Nee on 27-Сен-13, 21:01

Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Аноним (??) on 28-Сен-13, 01:56

> Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы
> можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!
Предлагаю пойти немного дальше и запускать syn-flood на каждого гaвнюка, смеющего атаковать ваш хост. А если это не поможет - лить каждому боту крутой UDP флуд. Вопрос о том где взять столько бандвиза оставим за кадром. Подумаем как-нибудь потом.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Аноним (??) on 28-Сен-13, 02:32

Да фиг с ними, атакующими! Надо свой DNS-сервер бить! Как говорится, бей своих, чтобы чужие боялись.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от бедный буратино (ok) on 28-Сен-13, 08:12

> Поделись атакою своей!
И она к тебе не раз ещё вернётся...
Эх, дуэль Ареафиксов, я скучал по тебе! :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Sadok (??) on 28-Сен-13, 17:57

> Эх, дуэль Ареафиксов, я скучал по тебе! :)
Детство вернулось =)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

5. "Для nginx подготовлен модуль для организации блокировки клие..." +4 +/–

Сообщение от Аноним (??) on 27-Сен-13, 22:09

Подобные блокировки при DDoS нужно делать не на лету, а через парсинг лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. Иначе резолвингом при каждом запросе только усугубим ситуацию.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Аноним (??) on 28-Сен-13, 02:34

> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг
> лога/ резолвинга раз в несколько минут и фонового построения списка блокировки.
> Иначе резолвингом при каждом запросе только усугубим ситуацию.
Да и делается это на уровне фаервола, а не сервера (ipset в linux, pf tables в BSD).
От джинкса требуется только вменяемый лог. Но с этим вроде никаких проблем нет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Dmitry Shurupov (ok) on 28-Сен-13, 17:11

> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг
> лога/ резолвинга раз в несколько минут и фонового построения списка блокировки.
> Иначе резолвингом при каждом запросе только усугубим ситуацию.
Используется стандартный resolver из nginx (есть кэш). Поддерживаются "if".

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Sw00p aka Jerom on 28-Сен-13, 00:17

блокирующий режим ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от бедный буратино (ok) on 28-Сен-13, 07:01

Чот маловразумительно. Не поможет.
А есть ли для nginx такой модуль или режим, чтобы отделял зёрна от роботов, типа: этот клиент внаглую игнорирует css и картинки, быстро делает запросы, пишет тупые однообразные комментарии и ищет php там, где его отродясь не видали - значит, это робот и ему доступ закрыть, надолго.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Dmitry Shurupov (ok) on 28-Сен-13, 16:39

Нам помогает. В определенной степени, но всё же — иначе бы и не придумывали.
Универсальных решений нет и [в абсолютном понимании] не будет: как только улучшается защита, улучшаются и способы «нападения».

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Анонизм on 29-Сен-13, 02:20

Что за степень определенная? Пример?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Dmitry Shurupov (ok) on 29-Сен-13, 14:56

Пример из жизни — идёт вялый, но постоянный DDoS на кучу веб-сайтов. Особо рьяные-очевидные IP-адреса блокируются firewall'ом, «средние» — прогоняются через nginx с testcookie+rdns: хорошие IP-адреса (с хостами, определившимися как yandex/google/etc) пропускаются без ограничений, на доступ для остальных накладывается ограничение по количеству подключений в минуту + могут быть дополнительные проверки.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Для nginx подготовлен модуль для организации блокировки клие..." +/–

Сообщение от Timosha on 30-Сен-13, 14:17

бгг, про DDoS - фантазии автора новости конечно :) но модуль может пригодиться, например чтобы зарубить на nginx'е тех, кто прикидывается яндекс ботом, но таковым не является :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Для nginx подготовлен модуль для организации блокировки клие..."	+17 +/–
Сообщение от Аноним (??) on 27-Сен-13, 20:55
Во время DDoS-атак только rDNS и не хватало.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Для nginx подготовлен модуль для организации блокировки клие..."	+1 +/–
	Сообщение от Аноним (??) on 27-Сен-13, 21:50
	Рекурсивный ддос nginx)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	6. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Аноним (??) on 28-Сен-13, 00:03
	Наверное, расчет идет на то, что есть локальный кэшер.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	8. "Для nginx подготовлен модуль для организации блокировки клие..."	+6 +/–
	Сообщение от Аноним (??) on 28-Сен-13, 01:55
	Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	12. "Для nginx подготовлен модуль для организации блокировки клие..."	+1 +/–
	Сообщение от Аноним (??) on 28-Сен-13, 02:35
	> Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание... И обязательно их все обновлять по истечении TTL.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	17. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Dmitry Shurupov (ok) on 28-Сен-13, 17:13
	> Наверное, расчет идет на то, что есть локальный кэшер. Используется стандартный resolver из HttpCoreModule.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору

2. "Для nginx подготовлен модуль для организации блокировки клие..."	+10 +/–
Сообщение от Vee Nee on 27-Сен-13, 21:01
Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Аноним (??) on 28-Сен-13, 01:56
	> Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы > можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все! Предлагаю пойти немного дальше и запускать syn-flood на каждого гaвнюка, смеющего атаковать ваш хост. А если это не поможет - лить каждому боту крутой UDP флуд. Вопрос о том где взять столько бандвиза оставим за кадром. Подумаем как-нибудь потом.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	10. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Аноним (??) on 28-Сен-13, 02:32
	Да фиг с ними, атакующими! Надо свой DNS-сервер бить! Как говорится, бей своих, чтобы чужие боялись.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	14. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от бедный буратино (ok) on 28-Сен-13, 08:12
	> Поделись атакою своей! И она к тебе не раз ещё вернётся... Эх, дуэль Ареафиксов, я скучал по тебе! :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	18. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Sadok (??) on 28-Сен-13, 17:57
	> Эх, дуэль Ареафиксов, я скучал по тебе! :) Детство вернулось =)
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору

5. "Для nginx подготовлен модуль для организации блокировки клие..."	+4 +/–
Сообщение от Аноним (??) on 27-Сен-13, 22:09
Подобные блокировки при DDoS нужно делать не на лету, а через парсинг лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. Иначе резолвингом при каждом запросе только усугубим ситуацию.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	11. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Аноним (??) on 28-Сен-13, 02:34
	> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг > лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. > Иначе резолвингом при каждом запросе только усугубим ситуацию. Да и делается это на уровне фаервола, а не сервера (ipset в linux, pf tables в BSD). От джинкса требуется только вменяемый лог. Но с этим вроде никаких проблем нет.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	16. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Dmitry Shurupov (ok) on 28-Сен-13, 17:11
	> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг > лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. > Иначе резолвингом при каждом запросе только усугубим ситуацию. Используется стандартный resolver из nginx (есть кэш). Поддерживаются "if".
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

7. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
Сообщение от Sw00p aka Jerom on 28-Сен-13, 00:17
блокирующий режим ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

13. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
Сообщение от бедный буратино (ok) on 28-Сен-13, 07:01
Чот маловразумительно. Не поможет. А есть ли для nginx такой модуль или режим, чтобы отделял зёрна от роботов, типа: этот клиент внаглую игнорирует css и картинки, быстро делает запросы, пишет тупые однообразные комментарии и ищет php там, где его отродясь не видали - значит, это робот и ему доступ закрыть, надолго.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	15. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Dmitry Shurupov (ok) on 28-Сен-13, 16:39
	Нам помогает. В определенной степени, но всё же — иначе бы и не придумывали. Универсальных решений нет и [в абсолютном понимании] не будет: как только улучшается защита, улучшаются и способы «нападения».
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	19. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Анонизм on 29-Сен-13, 02:20
	Что за степень определенная? Пример?
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	20. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
	Сообщение от Dmitry Shurupov (ok) on 29-Сен-13, 14:56
	Пример из жизни — идёт вялый, но постоянный DDoS на кучу веб-сайтов. Особо рьяные-очевидные IP-адреса блокируются firewall'ом, «средние» — прогоняются через nginx с testcookie+rdns: хорошие IP-адреса (с хостами, определившимися как yandex/google/etc) пропускаются без ограничений, на доступ для остальных накладывается ограничение по количеству подключений в минуту + могут быть дополнительные проверки.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору

21. "Для nginx подготовлен модуль для организации блокировки клие..."	+/–
Сообщение от Timosha on 30-Сен-13, 14:17
бгг, про DDoS - фантазии автора новости конечно :) но модуль может пригодиться, например чтобы зарубить на nginx'е тех, кто прикидывается яндекс ботом, но таковым не является :)
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору