Форумы

GNU.SU - Записки нубо-линуксойда :: Форумы :: Сервисы :: Web-Server
 
<< Предыдущая тема | Следующая тема >>
Защита от DDOS атаки случайными аргументами при помощи Nginx
Модераторы: tastelinux, Frizze, andrey, Bender
Автор Добавил
tastelinux
Втр Сен 21 2010, 07:59
andreika

ID пользователя #1
Зарегистрирован: Птн Апр 30 2010, 12:25

Сообщений: 337
Я встретился с новым типом ботнета. Если старый долбил только в главную, то новый действует иначе. Он посылает множество запросов вида
GET someurl/?t1555ss5326=5326
,
где someurl — найденный ботом php скрипт.
Но если атакуемый сайт поддерживает ЧПУ, то такие запросы к нему должны отсутствовать в принципе. ЧПУ сейчас является стандартом де-факто, по этому можно смело отрезать такие запросы, логируя IP ботов.
Для этого очень удобен nginx, и его переменная is_args, которая имеет значение "?", если в URI идут аргументы. Базовая конструкция выглядит так:

if ($is_args = "?") {
return 444;
}


Очень просто и красиво, правда?
Вот как выглядит LA после включения этой защиты:
load average: 1.50, 3.09, 6.96
Текущий ботнет из ~20000 зомби, делают 5-8k одновременных запросов.

Так же можно при помощи регекспов:
Используйте регекспы. У меня был подобный ддос, лечил правилом
##
if ($query_string ~ "\w+\d+=\d+") {
access_log /opt/www/temp/log/nigerz;
return 444; break;
}
##


Защита от DDoS средствами IPTables;

# Лимит на 20 запросов в секунду для интерфейса eth0
iptables --new-chain lim1
iptables --insert OUTPUT 1 -p tcp --destination-port 80 -o eth0 --jump lim1
iptables --append lim1-m limit --limit 20/sec --jump RETURN
iptables --append lim1--jump DROP

# Максимум 10 одновременных соединений с одного IP
iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT

# Блокировка более 10 SYN
iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10


Оригинал тут.

[ Редактирование Втр Сен 21 2010, 08:02 ]
Наверх
iptables   DDoS   защита от DDoS средставми Nginx   Защита от DDoS средствами IPtables   linux   

 

Перейти:     Наверх

Транслировать сообщения этой темы: rss 0.92 Транслировать сообщения этой темы: rss 2.0 Транслировать сообщения этой темы: RDF
Powered by e107 Forum System