Re: atak na serwer www - apache 1.3.x
On Wed, Feb 08, 2006 at 02:34:23PM +0100, bieniu gras wrote:
> Witaj Paweł,
>
> W Twoim liście datowanym 8 lutego 2006 (12:09:06) można przeczytać:
[...]
> > A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te
> > wlasnie pliki o zerowej dlugosci? ;) Na pewno zmniejszyloby to ruch
> > w sieci.
>
> dawalem pliki 0 bajtow ale tu nie chodzi o ddos na lacze - wysysa to
> bardzo malo lacza, problem lezy w tym ze apache sie nie wyrabia :)))
> za duzo tego idzie milion hitow dziennie :P normalnie jakbym mial
> jakis portal
Moja porade oczywiscie nalezalo potraktowac z przymruzeniem oka :)
> > A co bedzie pod www1.wena.net?
>
> myslalem tutaj o jakims dnsowym przkierowaniu hmmm sam nie wiem jak to
> rozwiazac z dns balancing ? ze czesc zapytan na www.wena.net szlo by
> na www1.wena.net ?? przynajmniej nie wiem co iles ... ktos z listy mi
> podpowiadal odnosnie takiego rozwiazania
Jesli chcesz na DNSie "odsiac" czesc zapytan, to mozesz jednej nazwie
domenowej przypisac kilka rekordow A. Dla przykladu, jesli pod jednym
rekordem bedzie sie kryc wlasciwy adres IP, a pod dziewiecioma
pozostalymi - adres IP w rodzaju 127.0.0.1, to serwer DNS taki jak
bind na co 10. zapytanie powinien zwrocic klientowi na poczatku
wlasciwy adres IP. W ten sposob ruch do Twojego Apache'a powinien sie
zmniejszyc o 90%. Oczywiscie TTL musi byc odpowiednio krotki, zeby wyniki
zapytan do DNSa nie cache'owaly sie zbyt dlugo.
Tym sposobem mozesz wprawdzie pozbyc sie sporej czesci zapytan robali,
ale musisz tez zdawac sobie sprawe, ze czlowiek, ktory bedzie chcial
wejsc na Twoja strone moze nie miec tyle cierpliwosci, zeby 10 razy
odswiezac strone. To rozwiazanie nie jest wiec idealne, ale jest chyba
lepsze niz zupelne odciecie serwera? Ja bym uzyl go jako ostatecznosci
i najpierw probowal odpowiednio skonfigurowac iptables.
Pozdrawiam,
P.
Reply to: