On Mon, 26 Apr 2010 23:01:01 +0800 Denis Feklushkin <[email protected]> wrote:
> On Mon, 26 Apr 2010 23:59:00 +1100 > alexander <[email protected]> wrote: > > > Привет. > > Трафик стал сильно хаваться. Это был syn-flooding на мой веб-сервак. > > При этом dmesg выдал картинко: > > > > [30942.485594] possible SYN flooding on port 80. Sending cookies. > > [30951.969322] TCPv6: Possible SYN flooding on port 80. Sending > > cookies. [30960.029739] TCPv6: Possible SYN flooding on port 80. > > Sending cookies. [30966.058466] TCPv6: Possible SYN flooding on > > port 80. Sending cookies. [31003.499854] possible SYN flooding on > > port 80. Sending cookies. > > > > Я тут добавил директивы limit для сервака, а потом вдруг возникла > > идея nginx. > > По-моему, не тот уровень. Флудить ведь не перестанут, и tcp-соекуты > так и будут открываться, и в dmesg этот же текст будет писаться дальше > > > Почитал как его хвалят. Если он такой хороший, то что его не > > используют многие для своих нужд, например debian.org? :( Есть ли > > смысл ставить nginx? Поможет ли он уменьшить syn-flooding и вообще > > нагрузку на сервер? > > > > > > ясн. ;) да я тут про nginx тут прочитал, во чо пишут гады: "В этом примере все запросы попадающие в location / будут проксироваться на сервер 1.2.3.4 порт 8080. Это может быть как apache, так и любой другой http-сервер. Однако тут есть несколько тонкостей, связанных с тем, что приложение будет считать, что, во-первых, все запросы приходят к нему с одного IP-адреса (что может быть расценено, например, как попытка DDoS-атаки или подбора пароля), а во-вторых, считать, что оно запущено на хосте 1.2.3.4 и порту 8080 (соответственно, генерировать неправильные редиректы и абсолютные ссылки). Чтобы избежать этих проблем без необходимости переписывания приложения, мне кажется удобной следующая конфигурация: Nginx слушает внешний интерфейс на порту 80." Вот я и подумал что nginx еще может определять DDoS атаки ;) хыхы -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
