Re: И вот пришла Злая Тётя Ддося

[Дмитрий Савельев <dsaveliev@tormail.net>]

On 30.10.2011 17:40, Aleksandr Sytar wrote:
>
> Очень странно что nginx вам не подошел. В нем ест отличный инструмент
> limit_conn и limit_req. Может вы не не изучили документацию по этим
> модулям?
>
> Мне в свое время с помощью них и geoip удалось побороть 100Mbit ддос.
>
>

А все-таки nginx пошел, это видимо или из-за ддос-атаки, или из-за
анти-ддос настроек апача и iptables не всегда грузилось и выдавало ngunx
timeout.
Возникает вопрос, сохранять ли ранее описанные параноидальные настройки
апача? Как я понимаю, если не сохранять, то процессы апача могут начать
"плодиться" также, только через nginx?
Сейчас вкуриваю материалы по nginx, вроде после его установки сначала
все стало виснуть, затем немного повкуривал настройки, используя этот
материал http://www.xakep.ru/post/49752/default.asp (хотя для нормальной
ситуации, если нет ddos, такой конфиг, как я понимаю, - верх кривизны), 
сайту полегчало, но не до конца.
Сейчас пытаюсь использовать limit_conn для определения наиболее активных
ddos-еров, буду курить limit_req и geoip (т.к., я вполне понимаю, что
посетителями моего сайта могут быть россияне + русскоязычные живущие в
Европе и США, но египтяне, африканцы, индусы, аргентинцы и т.п. - вряд
ли, если я так отсеку 10 легитимных пользователей из 1000 ддосеров, то
это не очень хорошо, но на худой конец они могут и через проксю зайти,
тем более что сайт больше ориентирован на тех, кто живет в России, на
соотечественников за рубежом несколько в меньшей степени).
Правда, сайт интенсивно ддосят с российских ip, а их по geoip не забанишь.
Возник вопрос, что кэширование может в какой-то степени улучшить
ситуацию, т.к. не будет подвешивать апач и php прорвавшимися запросами
ддосеров.
Однако, сервер у меня под lenny, там nginx nginx/0.6.32, он, как я
понимаю, не умеет кэширование.
Если поставить nginx из squeeze, не потащит он за собой лишних либ и
полсистемы?!