Отражаем ddos - инструкция

432
.
Начали ддосить мои сайты - будем отражать.

Пишу пошаговые действия и результат.
.
Пока знающие люди копают в сторону нахождения досеров (надежда слабенькая, но есть) - защищаемся, заодно позиции укрепляем. Родные джоновские средства не помогают - ложится сервер mysql из-за слишком высокого количества коннектов. Следовательно, надо ставить защиту до того, как бот обратится к мускулу впервые.

Итак, что делаем:

1. Ограничиваем одновременный доступ с одного ip - 10 подключений. Уже лучше. 10 надо для того, чтобы подгрузились картинки. Они отдельными подключениями загружаются (те, что не в кэше)
.
2. Копаем логи сервера - файл acess.log/ Ищем что-либо подобное:
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4045"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4046"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4047"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4048"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4049"
95.140.148.82 - - [25/Feb/2013:13:31:06 +0400] "GET /index.php HTTP/1.1" 200 24 "-" "STORM4050"
итд

Выбираем вручную ip подобных запросов, добавляем их в firewall. Либо на худой конец, просто баним
.
3. Пишем скрипт, который будет определять и отсеивать подобные ip. (в процессе. как допишу - выложу)

Пока всё, комменты и предложения приветствуются
.
¤
Sergafan, посмотреть стоит реализацию фаервола в новой версии двига, стары писал уже о нем где-то..
.
В идеях:
1 почти все ddosботы обращаются к главной странице. Минимизировать mysql запросы с главной, кэшировать.
2 записывать боту в куки что-нибудь, чтобы раз на 5й его прищучить. типа интервала по времени от последнего посещения или количество обновлений страницы от него в секунду. надо покопать. и чтобы поисковики и реалпиплы не пострадали
.
VARG (27.02.2013 / 12:35)
Sergafan, посмотреть стоит реализацию фаервола в новой версии двига, стары писал уже о нем где-то..
ща поищу, но там вроде обращение к мускулу присутствует
.
¤
в ядре текущей версии есть функция IP антифлуда, фаервол будет в моби, и наверно в следующем релизе джона..
.
Кадило крутится, лавэха мутится
Sergafan (27.02.2013 / 12:44)
2 записывать боту в куки что-нибудь, чтобы раз на 5й его прищучить. типа интервала по времени от последнего посещения или количество обновлений страницы от него в секунду. надо покопать. и чтобы поиск
Можешь не писать куки. Бесполезно ибо чтобы бот их держал, нужно сначала написать их поддержку в самом боте. гг.
.
Кадило крутится, лавэха мутится
Вот как-то писал по этому поводу статью. Защита от http-flood атак с помощью ngin...
ИМХО самый действенный автоматический вариант. Ничто конечно не заменит ручную работу. гг. Но в целом норм справляется.
Всего: 47