Hej Bieniu,
czy podzielisz się informacją jak zakończyła się sprawa z tym atakiem
ddos - czy squid załatwił sprawę?
On Thu, 9 Feb 2006, Marek Wyrzykowski wrote:
Dobre i trafne Twoje pytanie to, czy squid da radę obsłużyć milion
hitów/24h. Kto wie niech się odezwie :-)
Znalazłem na stronie
Witaj Marek,
W Twoim liście datowanym 24 lutego 2006 (12:42:18) można przeczytać:
Znalazłem na stronie ... squida testy
(http://www.squid-cache.org/Benchmarking/), z których wynika, że podwójny
Pentium III 550Mhz (ale z FreeBSD) był wstanie obsłużyć nawet 480
zapytań/sek w szczycie, a przez
06-02-14, Szymon Nieradka [EMAIL PROTECTED] napisał(a):
Marek Wyrzykowski napisał(a):
Paweł Tęcza napisał(a):
Pytanie tylko, czy squid obsluzy milion hitow dziennie, skoro Apache
sobie nie poradzil z taka ich liczba... Poza tym kolejna usluga to
przeciez zuzycie kolejnych zasobow.
Witaj bieniu,
W Twoim liście datowanym 10 lutego 2006 (20:33:08) można przeczytać:
kurcze proboje dac squida jako transparent accel dla apacha - sytuacja
wyglada tak:
serwer apache chodzi na porcie 80 i ma wirtualki porobione
domene www.domena2.pl skierowalem na ip_nr2 (ip2 jest podniesione
na
bieniu gras napisał(a):
Access Denied.
Access control configuration prevents your request from being allowed at this
time.
Please contact your service provider if you feel this is incorrect.
hello,
A co Tobie odpowiada telnet na ip2:80 z serwera na którym jest squid
... apache
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (14:59:45) można przeczytać:
A co Tobie odpowiada telnet na ip2:80 z serwera na którym jest squid
... apache czy squid ??
no odpowiada mi squid jak w poprzednim mailu podawalem tyle ze podaje
mi access denied nie wiem dlaczego
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (14:59:45) można przeczytać:
A co Tobie odpowiada telnet na ip2:80 z serwera na którym jest squid
... apache czy squid ??
a przepraszam nie zauwazylem ze mialo byc na tej samej maszynie co
squid i apache:
tam telnecik daje to:
~#
bieniu gras napisał(a):
H1Forbidden/H1
You don't have permission to access /
on this server.P
HR
ADDRESSApache/1.3.34 Server at ip2 Port 80/ADDRESS
/BODY/HTML
Connection closed by foreign host.
hmmm dlaczego 403 ??? skoro virtualka na ip2 jest skonfigurowana
odpowiednio ???
prawa
bieniu gras napisał(a):
zmienilem virtualke na glowna domene i po telnecie idzie do strony jak
powinno wiec to nie jest kwestia apacha - jest wszystko ok ale squid
ciagle z zewnatrz jak sie wchodzi mi daje access denied
TCP_DENIED/403 1406 GET http://ip2/
a w przegladarce mam komunikat
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (15:55:07) można przeczytać:
czy IP_wirtualki != IP_głównej_domeny ??? Jeśli tak to czemu squid
odwołuje się do ip2, a nie do ip_głównej_domeny ??
ip wirtualki = ip2
glowna domena to ip1
squid nasluchuje na ip2, jest przekierowanie
Witaj bieniu,
W Twoim liście datowanym 13 lutego 2006 (16:13:36) można przeczytać:
caly czas squid jakos mi podaje access denied cholera, moze to kwestia
innych jego ustawien jakis ACL z accessem ?
JASNA CHOLERA KURNA NO :d nie zauwazylem
bylo:
# Only allow cachemgr access from
bieniu gras napisał(a):
http_access allow all - i z tym poszlo wszystko - rozumiem ze tak
powinno to wygladac jesli mam zamiar akcelerowac serwer httpd
wpuszczac wszystkich ???
proponuję raczej
acl okdomains domena1.cus domena2.cus itd... :-)
http_access deny !okdomains
http_access
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (16:38:48) można przeczytać:
proponuję raczej
acl okdomains domena1.cus domena2.cus itd... :-)
http_access deny !okdomains
http_access allow all
ten zapis powoduje mi
Bungled squid.conf line 1871: acl okdomains wena.net
i potem squid
bieniu gras napisał(a):
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (16:38:48) można przeczytać:
proponuję raczej
acl okdomains domena1.cus domena2.cus itd... :-)
http_access deny !okdomains
http_access allow all
ten zapis powoduje mi
Bungled squid.conf line 1871: acl
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (17:07:03) można przeczytać:
bieniu gras napisał(a):
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (16:38:48) można przeczytać:
proponuję raczej
acl okdomains domena1.cus domena2.cus itd... :-)
http_access deny !okdomains
bieniu gras napisał(a):
pozostaje jeszcze jedna kwestia :) teoretyczna ktora zostanie
przetestowana :) otoz mam tez w konfigu:
acl pliki_wormy urlpath_regex /etc/squid/pliki_wormy
http_access deny pliki_wormy
Co do tych plików to bym ich nie blokował, wręcz przeciwnie :-). Niech
squid na
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (19:43:23) można przeczytać:
Co do tych plików to bym ich nie blokował, wręcz przeciwnie :-). Niech
squid na życzenie podaje te pliki i niech będę (co raczej oczywiste) o
zerowej długości. Pięknie zmieszczą się w RAMie.
ok sproboje :)
Marek Wyrzykowski napisał(a):
Paweł Tęcza napisał(a):
Pytanie tylko, czy squid obsluzy milion hitow dziennie, skoro Apache
sobie nie poradzil z taka ich liczba... Poza tym kolejna usluga to
przeciez zuzycie kolejnych zasobow.
Dobre i trafne Twoje pytanie to, czy squid da radę obsłużyć
Witaj bieniu,
W Twoim liście datowanym 9 lutego 2006 (21:56:51) można przeczytać:
dobra to sproboje ustawic squida jak na razie mam tak:
dalem przekierowanie iptablesami:
iptables -t nat -A PREROUTING -i eth0 -p tcp -d
ip_na_ktorym_bedzie_domena --dport 80 -j DNAT --to 127.0.0.1:3128
squid na
bieniu gras napisał(a):
iptables -L -v -t nat
Chain PREROUTING (policy ACCEPT 6163K packets, 350M bytes)
pkts bytes target prot opt in out source
destination
93 5580 DNAT tcp -- eth0 any anywhere
ip_na_ktorym_jest_domena2tcp dpt:www
Witaj Marek,
W Twoim liście datowanym 10 lutego 2006 (17:43:43) można przeczytać:
Tak naprawdę to powinieneś zrobić REDIRECTa na squida, Po PREROUTINGu
masz łańcuch INPUT, w którym dodatkowo trzeba otworzyć dostęp do squida.
Proponuję coś następującego:
iptables -t nat -I PREROUTING
Witam,
Dnia czw, lut 09, 2006 at 09:24:32 +0100, bieniu gras napisał:
Witaj Marcin,
W Twoim liście datowanym 9 lutego 2006 (07:21:33) można przeczytać:
Może wyłącz access.log/error.log dla tej domeny, to powinno go trochę
odciążyć.
sporoboje bo logi rosly niesamowicie :)
POlecam
On Wed, Feb 08, 2006 at 05:34:20PM +0100, Robert PaneQ! Pankowecki (rupert)
wrote:
Dnia 08-02-2006, śro o godzinie 14:34 +0100, bieniu gras napisał(a):
dawalem pliki 0 bajtow ale tu nie chodzi o ddos na lacze - wysysa to
bardzo malo lacza, problem lezy w tym ze apache sie nie wyrabia :)))
A
witam
a mod_evasive
testowales?
wyglada iz powinien przynajmniej w jakims stopniu pomoc.
pozdrawiam i powodzenia
jr
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
bieniu gras napisał(a):
Witaj lista!
wiem ze to troche OT i juz pisalem na liste o tym ale moze jeszcze mi
jakos pomozecie:
ktos w 3 wormach internetowych umiescil w kodzie moja domene
www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac:
q.jpg, ddd, jpg oraz
Witam,
Dnia czw, lut 09, 2006 at 02:29:50 +0100, Marek Wyrzykowski napisał:
bieniu gras napisał(a):
Witaj lista!
wiem ze to troche OT i juz pisalem na liste o tym ale moze jeszcze mi
jakos pomozecie:
ktos w 3 wormach internetowych umiescil w kodzie moja domene
www.wena.net do
Czesc!
On Thu, Feb 09, 2006 at 02:36:07PM +0100, Michał Prokopiuk wrote:
Dnia czw, lut 09, 2006 at 02:29:50 +0100, Marek Wyrzykowski napisał:
Chcę zaproponować rozważania czysto teoretyczne. Nie sprawdziłem tego
osobiście, ale może pomoże :-).
W przypadku znacznego obciążenia
Michał Prokopiuk napisał(a):
Jak najbardziej ma sens - odciaza apacza :). Wymyslilem teraz tez, ze
ale czy problem wydajności nie przeniesie się na squida ??. Czy da on
radę i czy się nie wywali, odcinając tym samym dostęp do wszystkich
domen na tym serwerze ? Może ktoś wie jak jak z
Paweł Tęcza napisał(a):
Jak najbardziej ma sens - odciaza apacza :).
Pytanie tylko, czy squid obsluzy milion hitow dziennie, skoro Apache
sobie nie poradzil z taka ich liczba... Poza tym kolejna usluga to
przeciez zuzycie kolejnych zasobow.
Zasobami w tym przypadku bym sie nie
Witaj Michał,
W Twoim liście datowanym 9 lutego 2006 (14:36:07) można przeczytać:
Jak najbardziej ma sens - odciaza apacza :). Wymyslilem teraz tez, ze
mozna by reguulkami mod_rewrite kierowac zapytania gdzies w kosmos, no
ale to znowu angazuje apacza. Ale w przypadku apaczy trzech (pisalem
Witam,
Dnia czw, lut 09, 2006 at 02:54:46 +0100, Paweł Tęcza napisał:
Ale w przypadku apaczy trzech (pisalem o tym w poprzednim mailu)
obciazenie sztuki zdecydowania spada.
Z tego co Bieniu pisał wyżej największym problemem był limit połaczeń w
ramach jednego apacza. Poza tym apacz zuzywa
Witaj Michał,
W Twoim liście datowanym 9 lutego 2006 (15:39:29) można przeczytać:
Z tego co Bieniu pisał wyżej największym problemem był limit połaczeń w
ramach jednego apacza. Poza tym apacz zuzywa mniej zasobow
niz squid...
ale mysle o squidzie ktory by tylko blokowal te 3 wywolania hmmm
Z tego co Bieniu pisał wyżej największym problemem był limit połaczeń
w
ramach jednego apacza. Poza tym apacz zuzywa mniej zasobow
niz squid...
ale mysle o squidzie ktory by tylko blokowal te 3 wywolania hmmm
Witam
A ja jednak pomyślałbym jednak nad iptables - wydaje mi sie jednak, że
Witaj Artur,
W Twoim liście datowanym 9 lutego 2006 (18:45:36) można przeczytać:
Z tego co Bieniu pisał wyżej największym problemem był limit połaczeń
w
ramach jednego apacza. Poza tym apacz zuzywa mniej zasobow
niz squid...
ale mysle o squidzie ktory by tylko blokowal te 3 wywolania
bieniu gras [EMAIL PROTECTED] wrote:
Witaj Artur,
W Twoim liście datowanym 9 lutego 2006 (18:45:36) można przeczytać:
Z tego co Bieniu pisał wyżej największym problemem był limit
połaczeń
w
ramach jednego apacza. Poza tym apacz zuzywa mniej zasobow
niz squid...
ale mysle o squidzie
Witaj Artur,
W Twoim liście datowanym 9 lutego 2006 (21:01:57) można przeczytać:
Fakt - nie pomyślałem, że to otworzy połączenie do apacha, ale przećwicz to
w praktyce - czy po zwiększeniu conn_limit i spare_servers, apache nie
poradzi sobie z otwieranymi połączeniami.
juz podawalem moja
Witaj lista!
wiem ze to troche OT i juz pisalem na liste o tym ale moze jeszcze mi
jakos pomozecie:
ktos w 3 wormach internetowych umiescil w kodzie moja domene
www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac:
q.jpg, ddd, jpg oraz my_photo.zip
On Wed, Feb 08, 2006 at 11:09:47AM +0100, bieniu gras wrote:
Witaj lista!
Hej!
ktos w 3 wormach internetowych umiescil w kodzie moja domene
www.wena.net do ktorej lacza sie zarazone komputery i proboja pobierac:
Ale ktos mial wene... Przyjmij moje wyrazy wspolczucia ;)
oczywiscie rezultat
Witaj Paweł,
W Twoim liście datowanym 8 lutego 2006 (12:09:06) można przeczytać:
On Wed, Feb 08, 2006 at 11:09:47AM +0100, bieniu gras wrote:
Witaj lista!
Hej!
ktos w 3 wormach internetowych umiescil w kodzie moja domene
www.wena.net do ktorej lacza sie zarazone komputery i proboja
On Wed, Feb 08, 2006 at 02:34:23PM +0100, bieniu gras wrote:
Witaj Paweł,
W Twoim liście datowanym 8 lutego 2006 (12:09:06) można przeczytać:
[...]
A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te
wlasnie pliki o zerowej dlugosci? ;) Na pewno zmniejszyloby to ruch
w
Dnia 08-02-2006, śro o godzinie 14:34 +0100, bieniu gras napisał(a):
dawalem pliki 0 bajtow ale tu nie chodzi o ddos na lacze - wysysa to
bardzo malo lacza, problem lezy w tym ze apache sie nie wyrabia :)))
za duzo tego idzie milion hitow dziennie :P normalnie jakbym mial
jakis portal
A może
Witaj Robert,
W Twoim liście datowanym 8 lutego 2006 (17:34:20) można przeczytać:
A może zwiększyć liczbę wątków / procesów dla apache, jeśli można,
pamiętam, że dla serwera ntfs jest to możliwe więc może apach też takie
coś oferuje, może wtedy lepiej by się wyrabiał ? :-)
to stosowalem na
On Wed, Feb 08, 2006 at 11:09:47AM +0100, bieniu gras wrote:
powiem tylko ze dziennie mam 1 mln hitow w www.wena.net a odwiedzin
200 tysiecy :D to naprawde zabija apacha nawet ustawionego na 256
maxcon
Może wyłącz access.log/error.log dla tej domeny, to powinno go trochę
odciążyć.
Marcin
--
43 matches
Mail list logo
