The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Для nginx подготовлен модуль для организации блокировки клиентских запросов по доменному имени

27.09.2013 17:13

Для http-сервера nginx подготовлен модуль nginx-http-rdns с реализацией поддержки механизма контроля доступа по доменному имени клиента. Изначально nginx позволяет использовать в правилах только IP-адрес клиента, с которого поступил запрос. Представленный модуль с помощью rDNS-запроса выполняет преобразование IP в доменное имя и даёт возможность использования определённого имени хоста в правилах nginx. Например, можно сформировать простые списки контроля доступа на основе доменного имени, которые могут оказаться полезными при организации защиты от DDoS-атак или формирования списка исключений.

  1. Главная ссылка к новости (http://flant.ru/projects/nginx...)
Автор новости: Dmitry Shurupov
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/38008-nginx
Ключевые слова: nginx, dns, acl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 20:55, 27/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Во время DDoS-атак только rDNS и не хватало.
     
     
  • 2.3, Аноним (-), 21:50, 27/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Рекурсивный ддос nginx)
     
  • 2.6, Аноним (-), 00:03, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное, расчет идет на то, что есть локальный кэшер.
     
     
  • 3.8, Аноним (-), 01:55, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...
     
     
  • 4.12, Аноним (-), 02:35, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...

    И обязательно их все обновлять по истечении TTL.

     
  • 3.17, Dmitry Shurupov (ok), 17:13, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Наверное, расчет идет на то, что есть локальный кэшер.

    Используется стандартный resolver из HttpCoreModule.

     

  • 1.2, Vee Nee (?), 21:01, 27/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!
     
     
  • 2.9, Аноним (-), 01:56, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы
    > можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!

    Предлагаю пойти немного дальше и запускать syn-flood на каждого гaвнюка, смеющего атаковать ваш хост. А если это не поможет - лить каждому боту крутой UDP флуд. Вопрос о том где взять столько бандвиза оставим за кадром. Подумаем как-нибудь потом.

     
     
  • 3.10, Аноним (-), 02:32, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Да фиг с ними, атакующими! Надо свой DNS-сервер бить! Как говорится, бей своих, чтобы чужие боялись.
     
  • 2.14, бедный буратино (ok), 08:12, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Поделись атакою своей!

    И она к тебе не раз ещё вернётся...

    Эх, дуэль Ареафиксов, я скучал по тебе! :)

     
     
  • 3.18, Sadok (??), 17:57, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Эх, дуэль Ареафиксов, я скучал по тебе! :)

    Детство вернулось =)

     

  • 1.5, Аноним (-), 22:09, 27/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Подобные блокировки при DDoS нужно делать не на лету, а через парсинг лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. Иначе резолвингом при каждом запросе только усугубим ситуацию.
     
     
  • 2.11, Аноним (-), 02:34, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Подобные блокировки при DDoS нужно делать не на лету, а через парсинг
    > лога/ резолвинга раз в несколько минут и фонового построения списка блокировки.
    > Иначе резолвингом при каждом запросе только усугубим ситуацию.

    Да и делается это на уровне фаервола, а не сервера (ipset в linux, pf tables в BSD).
    От джинкса требуется только вменяемый лог. Но с этим вроде никаких проблем нет.

     
  • 2.16, Dmitry Shurupov (ok), 17:11, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Подобные блокировки при DDoS нужно делать не на лету, а через парсинг
    > лога/ резолвинга раз в несколько минут и фонового построения списка блокировки.
    > Иначе резолвингом при каждом запросе только усугубим ситуацию.

    Используется стандартный resolver из nginx (есть кэш). Поддерживаются "if".

     

  • 1.7, Sw00p aka Jerom (?), 00:17, 28/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    блокирующий режим ?
     
  • 1.13, бедный буратино (ok), 07:01, 28/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чот маловразумительно. Не поможет.

    А есть ли для nginx такой модуль или режим, чтобы отделял зёрна от роботов, типа: этот клиент внаглую игнорирует css и картинки, быстро делает запросы, пишет тупые однообразные комментарии и ищет php там, где его отродясь не видали - значит, это робот и ему доступ закрыть, надолго.

     
     
  • 2.15, Dmitry Shurupov (ok), 16:39, 28/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Нам помогает. В определенной степени, но всё же — иначе бы и не придумывали.

    Универсальных решений нет и [в абсолютном понимании] не будет: как только улучшается защита, улучшаются и способы «нападения».

     
     
  • 3.19, Анонизм (?), 02:20, 29/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Что за степень определенная? Пример?
     
     
  • 4.20, Dmitry Shurupov (ok), 14:56, 29/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Пример из жизни — идёт вялый, но постоянный DDoS на кучу веб-сайтов. Особо рьяные-очевидные IP-адреса блокируются firewall'ом, «средние» — прогоняются через nginx с testcookie+rdns: хорошие IP-адреса (с хостами, определившимися как yandex/google/etc) пропускаются без ограничений, на доступ для остальных накладывается ограничение по количеству подключений в минуту + могут быть дополнительные проверки.
     

  • 1.21, Timosha (?), 14:17, 30/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    бгг, про DDoS - фантазии автора новости конечно :) но модуль может пригодиться, например чтобы зарубить на nginx'е тех, кто прикидывается яндекс ботом, но таковым не является :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру