On 01.11.2011 11:59, Дмитрий Савельев wrote: > On 30.10.2011 17:40, Aleksandr Sytar wrote: > >> Очень странно что nginx вам не подошел. В нем ест отличный инструмент >> limit_conn и limit_req. Может вы не не изучили документацию по этим >> модулям? >> >> Мне в свое время с помощью них и geoip удалось побороть 100Mbit ддос. >> >> >> > А все-таки nginx пошел, это видимо или из-за ддос-атаки, или из-за > анти-ддос настроек апача и iptables не всегда грузилось и выдавало ngunx > timeout. > Возникает вопрос, сохранять ли ранее описанные параноидальные настройки > апача? Как я понимаю, если не сохранять, то процессы апача могут начать > "плодиться" также, только через nginx? > Сейчас вкуриваю материалы по nginx, вроде после его установки сначала > все стало виснуть, затем немного повкуривал настройки, используя этот > материал http://www.xakep.ru/post/49752/default.asp (хотя для нормальной > ситуации, если нет ddos, такой конфиг, как я понимаю, - верх кривизны), > сайту полегчало, но не до конца. > Сейчас пытаюсь использовать limit_conn для определения наиболее активных > ddos-еров, буду курить limit_req и geoip (т.к., я вполне понимаю, что > посетителями моего сайта могут быть россияне + русскоязычные живущие в > Европе и США, но египтяне, африканцы, индусы, аргентинцы и т.п. - вряд > ли, если я так отсеку 10 легитимных пользователей из 1000 ддосеров, то > это не очень хорошо, но на худой конец они могут и через проксю зайти, > тем более что сайт больше ориентирован на тех, кто живет в России, на > соотечественников за рубежом несколько в меньшей степени). > Правда, сайт интенсивно ддосят с российских ip, а их по geoip не забанишь. > Возник вопрос, что кэширование может в какой-то степени улучшить > ситуацию, т.к. не будет подвешивать апач и php прорвавшимися запросами > ддосеров. > Однако, сервер у меня под lenny, там nginx nginx/0.6.32, он, как я > понимаю, не умеет кэширование. > Если поставить nginx из squeeze, не потащит он за собой лишних либ и > полсистемы?! >
Нашел более новую версию на бэкпортах, так что из сквиз ставить не пришлось. Настроил кэширование, и даже после убирания из правил iptables баны ip ботнета - сайт работает отлично. 500 ботов пока положить его не могут. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
