Очень странно что nginx вам не подошел. В нем ест отличный инструмент limit_conn и limit_req. Может вы не не изучили документацию по этим модулям?
Мне в свое время с помощью них и geoip удалось побороть 100Mbit ддос.
On 30.10.2011 05:27, Dmitry A. Zhiglov wrote:Спасибо, покурю в этом направлении.
On Oct 30, 2011 12:34 AM, "Дмитрий Савельев" <dsaveliev@tormail.net> wrote:
>
> On 28.10.2011 22:51, Michael Shigorin wrote:
> > On Wed, Oct 26, 2011 at 11:08:48AM +0000, Дмитрий Савельев wrote:
> >
> >> Железные же решения денег стоят, сайт достаточно маленький, вот
> >> злодеи, надо же напасть было!!! Если честно, за свой небольшой
> >> опыт сего одминства, это первый случай ddos, до этого как то
> >> благополучно избегал :)
> >>
> > Что за сайт вызвал такое живое вминание, если не секрет?
> >
> Секрет :) Точнее не секрет, но не хочу разводить в рассылке полит-срача
> и т.п.
>
>
> |(вообще apache наружу лучше не выставлять, а упаковать
> > за nginx в качестве reverse proxy либо вообще упразднить
> > -- ну тяжёлый он, чтоб ещё и соединения принимать да контент
> > отдавать, а не только бэкендами заниматься)
> >
> >
> Поробовал поместить его за nginx - толку ноль в рассматирваемом
> отношении. nginx выдает ошибку, думал, неправильно сконфигурял, не
> коннектит с апачем, пытаюсь посмотреть логи - из них видно, что злые
> ддосеры достигают апача через нгинкс, значит, видимо, из-за ддос-атаки
> такая фигня.
> Не знаю, как спасаться, нагрепанных из логов tcpdump и логов апача ip
> забанил более 200, сначала помогло, но теперь с новых ддосят. Правила
> iptables, касающиеся ограничения коннектов, не работают, точнее, если их
> до предела ужесточать, то эффект тот же, что и от ддос-атаки - сайт лежит.
> Установил вот этот скрипт - http://deflate.medialayer.com/, толку тоже
> ноль. Посмотрел в чем дело - оказывается, ддосеры теперь не шлют кучу
> пакетов с одного хоста (из множества хостов), а пытаются установить по 1
> - 2 соединения с каждого хоста, вовлеченного в атаку, а их порядка
> нескольких сотен. Т.е. хитро обходят защиту.
> Что с этим делать?Это только мысль. Надо отделить клиента от ддосера.
Создать на отдельном хостинге статическую, можно модную с лого легким, статическую картинку, настроить инжиникс, т.е. усилить, и просить клиентов кликнуть по лого или делать редирект. Что лучше - надо экспериментировать.
Еще есть мысль написать скрипт типа этого дефлейта, потому что эти зачем-то используют реффериз с двух сайтов (!!!) - удафф-кома и еще какой-то муры.
Надо чтобы скрипт грепал лог апача (или нгинкса, если поставить его перед апачем), и банил хосты, которые приходят якобы с этих сайтов.
Хотя тогда враги придумают что-нибудь новое, наверное, но видимо такова уж злая судьбина моя и их - их ддосить, меня - отбиваться :)
Вы случаем не предоставляете сервис погоды? Может и совпадение, но у нашего агента проблемы вместе с вашими начались.
Нет, сайт некоммерческий, радикальной оппозиции.