Очень странно что nginx вам не подошел. В нем ест отличный инструмент limit_conn и limit_req. Может вы не не изучили документацию по этим модулям?
Мне в свое время с помощью них и geoip удалось побороть 100Mbit ддос. 30.10.2011 18:57 пользователь "Дмитрий Савельев" <[email protected]> написал: > ** > On 30.10.2011 05:27, Dmitry A. Zhiglov wrote: > > > On Oct 30, 2011 12:34 AM, "Дмитрий Савельев" <[email protected]> > wrote: > > > > On 28.10.2011 22:51, Michael Shigorin wrote: > > > On Wed, Oct 26, 2011 at 11:08:48AM +0000, Дмитрий Савельев wrote: > > > > > >> Железные же решения денег стоят, сайт достаточно маленький, вот > > >> злодеи, надо же напасть было!!! Если честно, за свой небольшой > > >> опыт сего одминства, это первый случай ddos, до этого как то > > >> благополучно избегал :) > > >> > > > Что за сайт вызвал такое живое вминание, если не секрет? > > > > > Секрет :) Точнее не секрет, но не хочу разводить в рассылке полит-срача > > и т.п. > > > > > > |(вообще apache наружу лучше не выставлять, а упаковать > > > за nginx в качестве reverse proxy либо вообще упразднить > > > -- ну тяжёлый он, чтоб ещё и соединения принимать да контент > > > отдавать, а не только бэкендами заниматься) > > > > > > > > Поробовал поместить его за nginx - толку ноль в рассматирваемом > > отношении. nginx выдает ошибку, думал, неправильно сконфигурял, не > > коннектит с апачем, пытаюсь посмотреть логи - из них видно, что злые > > ддосеры достигают апача через нгинкс, значит, видимо, из-за ддос-атаки > > такая фигня. > > Не знаю, как спасаться, нагрепанных из логов tcpdump и логов апача ip > > забанил более 200, сначала помогло, но теперь с новых ддосят. Правила > > iptables, касающиеся ограничения коннектов, не работают, точнее, если их > > до предела ужесточать, то эффект тот же, что и от ддос-атаки - сайт > лежит. > > Установил вот этот скрипт - http://deflate.medialayer.com/, толку тоже > > ноль. Посмотрел в чем дело - оказывается, ддосеры теперь не шлют кучу > > пакетов с одного хоста (из множества хостов), а пытаются установить по 1 > > - 2 соединения с каждого хоста, вовлеченного в атаку, а их порядка > > нескольких сотен. Т.е. хитро обходят защиту. > > Что с этим делать? > > Это только мысль. Надо отделить клиента от ддосера. > > Создать на отдельном хостинге статическую, можно модную с лого легким, > статическую картинку, настроить инжиникс, т.е. усилить, и просить клиентов > кликнуть по лого или делать редирект. Что лучше - надо экспериментировать. > > Спасибо, покурю в этом направлении. > Еще есть мысль написать скрипт типа этого дефлейта, потому что эти > зачем-то используют реффериз с двух сайтов (!!!) - удафф-кома и еще > какой-то муры. > Надо чтобы скрипт грепал лог апача (или нгинкса, если поставить его перед > апачем), и банил хосты, которые приходят якобы с этих сайтов. > Хотя тогда враги придумают что-нибудь новое, наверное, но видимо такова уж > злая судьбина моя и их - их ддосить, меня - отбиваться :) > > Вы случаем не предоставляете сервис погоды? Может и совпадение, но у > нашего агента проблемы вместе с вашими начались. > > > Нет, сайт некоммерческий, радикальной оппозиции. > >
