The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Апач 2.2.6 и защита от ДДОС"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы WEB технологии (Public)
Изначальное сообщение [ Отслеживать ]

"Апач 2.2.6 и защита от ДДОС"  
Сообщение от mitya5005 email(ok) on 27-Ноя-07, 23:38 
Столкнулись с незначитальной ддос атакой, которая все же указала на слабые места нашего веб-сервера:

как обычно с одного ip шлется туча запросов апачу на выдачу страницы с определенного сайта.

в csf + lfd приписано блочить IP которые сделали более 250 подключений. блок перидоически происходит, апач приходятся рестартовать вручную, чтобы чайлды поубивать.


искали спец модуль для апача 2.2.6, анлизирующий логи на предмет ддоса - ничего не нашли.

есть более менее комплексные решение данных трудностей?

благодарю за ответ.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Апач 2.2.6 и защита от ДДОС"  
Сообщение от Vaso Petrovich on 28-Ноя-07, 09:13 
это задача фаирвола а не веб сервера... unix way называется, каждый должен свою часть делать... так что не то ищете...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Апач 2.2.6 и защита от ДДОС"  
Сообщение от zing email on 28-Ноя-07, 09:38 
>это задача фаирвола а не веб сервера... unix way называется, каждый должен
>свою часть делать... так что не то ищете...

http://www.opennet.dev/tips/info/128.shtml

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Апач 2.2.6 и защита от ДДОС"  
Сообщение от Vaso Petrovich on 28-Ноя-07, 11:37 
>>это задача фаирвола а не веб сервера... unix way называется, каждый должен
>>свою часть делать... так что не то ищете...
>
>http://www.opennet.dev/tips/info/128.shtml

в англии тоже есть пляжи... тоьлко вот что я не знаю тех кто поедит на них отдыхать... так что не палитесь...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Апач 2.2.6 и защита от ДДОС"  
Сообщение от mitya5005 email(ok) on 28-Ноя-07, 14:48 
>>это задача фаирвола а не веб сервера... unix way называется, каждый должен
>>свою часть делать... так что не то ищете...
>
>http://www.opennet.dev/tips/info/128.shtml

Спасибо.

Стоит csf lfd - скрипт использует iptables. правил кучав том числе и на ограничение количества подключений, но тем не менее проблемы есть..

спрашиваю про более комплекное решение проблемы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Апач 2.2.6 и защита от ДДОС"  
Сообщение от Vaso Petrovich on 28-Ноя-07, 18:51 
>Стоит csf lfd - скрипт использует iptables. правил кучав том числе и
>на ограничение количества подключений, но тем не менее проблемы есть..
>
>спрашиваю про более комплекное решение проблемы.

о если это linux то вам надо hashtabe и state new заюзать, без всяких велосипедов с квадратными колесами, не спасет только в случаии если по keep-alive буду флудить, но такие врят ли с одного адреса будут флудить...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Апач 2.2.6 и защита от ДДОС"  
Сообщение от mitya5005 email(ok) on 28-Ноя-07, 21:11 
>>Стоит csf lfd - скрипт использует iptables. правил кучав том числе и
>>на ограничение количества подключений, но тем не менее проблемы есть..
>>
>>спрашиваю про более комплекное решение проблемы.
>
>о если это linux то вам надо hashtabe и state new заюзать,
>без всяких велосипедов с квадратными колесами, не спасет только в случаии
>если по keep-alive буду флудить, но такие врят ли с одного
>адреса будут флудить...

Видел еще такую фишку:

перед тем как блочить IP - выдается страница поьзователю с просьбой ввести капчу.
Что очень полезно.

чем такое реализовано?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Апач 2.2.6 и защита от ДДОС"  
Сообщение от Vaso Petrovich on 30-Ноя-07, 08:05 
>[оверквотинг удален]
>>если по keep-alive буду флудить, но такие врят ли с одного
>>адреса будут флудить...
>
>Видел еще такую фишку:
>
>перед тем как блочить IP - выдается страница поьзователю с просьбой ввести
>капчу.
>Что очень полезно.
>
>чем такое реализовано?

это просто, iptables + hashlimit + state + web server
только вместо блокировки сначала редирект на специальный сервер с картинкой... и только потом если что бан...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Апач 2.2.6 и защита от ДДОС"  
Сообщение от ССК on 07-Дек-07, 14:40 
если это БСД то можно так
allow tcp from any to me dst-port 80,443 limit src-addr 30
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Апач 2.2.6 и защита от ДДОС"  
Сообщение от Golub Mikhail (ok) on 09-Фев-08, 12:46 
>если это БСД то можно так
>allow tcp from any to me dst-port 80,443 limit src-addr 30

Да, а потом спрашивают, а почему у меня нет доступа к сайту "Х"?
А юзеры (больше 2000) выходят в инет через прокси через один IP ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру