Сервер на Linux, kernel 2.4.20. Проблема такая - на сервак постоянно флудят, с огромного количесва хостов и если так пойдёт и дальше, придётся пол мира забанить. Восновном флудят апач. Может кто посоветует, как с таким бороться ?!
>Сервер на Linux, kernel 2.4.20. Проблема такая - на сервак постоянно флудят,
>с огромного количесва хостов
с огромного - это с какого?>Восновном флудят апач.
а он у тебя на весь мир открыт?
>>Сервер на Linux, kernel 2.4.20. Проблема такая - на сервак постоянно флудят,
>>с огромного количесва хостов
>с огромного - это с какого?
>
>>Восновном флудят апач.
>а он у тебя на весь мир открыт?iptables
>iptables
Да да да, только вот сервер то хостинг, просто так забанить я все подсети немогу.
>>iptables
>
>
>Да да да, только вот сервер то хостинг, просто так забанить я
>все подсети немогу.
посмотриmod_throttle
mod_dosevasive,
если у тебя обычный траффик, эти модули отлично справляются.если весь траффик надо принять - то mod_backhand,
апгрейд/покупка оборудования, тюнинг апача.если тебя досят,
то все зависит от того каким образом, как, с какого конкретно
количества хостов в пике, от договоренностей с провайдером выше и т.д.
Другими словами это сложная проблема решение которой требует опыта, денег и времени, и универсального решения в общем случае не существует (комплекс мер в зависимости от твоей ситуации). Это если ddos.совет такой: выясни что это такое для начала, может у тебя кто-то порно-ресурс захостил - это ,да, часто похоже на дос:)
>mod_throttle
>mod_dosevasive,
О благодарствую... Уже начал качать и компилить... пасибо большое>если у тебя обычный траффик, эти модули отлично справляются.
>если весь траффик надо принять - то mod_backhand,
>апгрейд/покупка оборудования, тюнинг апача.
Тюнинг да, уже занимаемся, а вот вопрос про переход на 2.6 кернел, стоит нет для крупного хостера ?>если тебя досят,
>то все зависит от того каким образом, как, с какого конкретно
>количества хостов в пике, от договоренностей с провайдером выше и т.д.
>Другими словами это сложная проблема решение которой требует опыта, денег и времени,
>и универсального решения в общем случае не существует (комплекс мер в
>зависимости от твоей ситуации). Это если ddos.
И досят тоже, как по плану, с утреца досят, пока всех забаню, к вечеру apache flood оф... большой.>совет такой: выясни что это такое для начала, может у тебя кто-то
>порно-ресурс захостил - это ,да, часто похоже на дос:)
Хм, есть один, но это шефу надо говорить.
>>mod_throttle
>>mod_dosevasive,
>О благодарствую... Уже начал качать и компилить... пасибо большоеКстати, незнаю как mod_dosevasive, а mod_throttle в некоторых случаях может больше навредить, чем помочь. Очень легко устроить DoS для самого mod_throttle, для подробностей почитай рассылки и news'ы.
>Тюнинг да, уже занимаемся, а вот вопрос про переход на 2.6 кернел,
>стоит нет для крупного хостера ?Еще года 2 точно не стоит, а если в этом нет реальной необходимости, то пока не приспичит лучше не трогать текущее ядро.
>Хм, есть один, но это шефу надо говорить.
Тогда, это рузультат работы многопоточных качалок.....
>с огромного - это с какого?
50-60 в день, уникальных>>Восновном флудят апач.
>а он у тебя на весь мир открыт?
Хостинг ....
>Сервер на Linux, kernel 2.4.20. Проблема такая - на сервак постоянно флудят,
>с огромного количесва хостов.Скорее всего это не флуд, а обычная активность червей и вирусов. Смирись. Флуд это когда одновременно потоков в 100 пытаются что-то ресурсоемкое запрашивать или норовят 1000 пустых коннектов создать, в этом случае нужно обратится к вышестоящему провайдеру, он обратится к своему провайдеру и т.д. пока не дойдут до флудера.
Бороться можно при помощи iptables, лимитами на число коннектов одновременно и в ед. времени.
Если флудят профессионально, через тучу затрояненных машин в DSL сетях, то мало что поможет в этой ситуации, даже если найти общность и в real-time блокировать флуд-запросы, то трафик все равно будет - мало не покажется, если флудят по ICMP то и блокировать бесполезно.
Был у нас случай, полный DoS устроили ICMP флудом с пары тысяч машин, причем перестарались, ресурс который флудили пострадал отнсительно немного, особенно досталось провайдеру у кого был этот ресурс, и даже провайдеру провайдера у которому пару часов пришлось тянуть весь трафик через резервный линк (достаточно крупный московский оператор).
>Скорее всего это не флуд, а обычная активность червей и вирусов. Смирись.
>Флуд это когда одновременно потоков в 100 пытаются что-то ресурсоемкое запрашивать
>или норовят 1000 пустых коннектов создать, в этом случае нужно обратится
>к вышестоящему провайдеру, он обратится к своему провайдеру и т.д. пока
>не дойдут до флудера.
Именно флуд, апач открывает сколько ему можно соединений и радуется.>Бороться можно при помощи iptables, лимитами на число коннектов одновременно и в ед. времени.
Вот об этом то я и хотел спросить. Хотя мой же скрипт, позволяет гасить сервера с подменой ип.>Если флудят профессионально, через тучу затрояненных машин в DSL сетях, то мало
>что поможет в этой ситуации, даже если найти общность и в
>real-time блокировать флуд-запросы, то трафик все равно будет - мало не
>покажется, если флудят по ICMP то и блокировать бесполезно.
Трафик, да плевать ограничений нет, забиваеют место на клиенские соединения.>Был у нас случай, полный DoS устроили ICMP флудом с пары тысяч
>машин, причем перестарались, ресурс который флудили пострадал отнсительно немного, особенно досталось
>провайдеру у кого был этот ресурс, и даже провайдеру провайдера у
>которому пару часов пришлось тянуть весь трафик через резервный линк (достаточно
>крупный московский оператор).
О, случайно не очень недавно, с месяц назад ?! У нас тоже трабл был, линк до Швеции погас, а в новостях сказали кабель лопнул :) приколисты
>Именно флуд, апач открывает сколько ему можно соединений и радуется.Если есть порно ресурс, то может дело в многопоточных качалках, примерно 50 идиотов в день и получается.
>>провайдеру у кого был этот ресурс, и даже провайдеру провайдера у
>>которому пару часов пришлось тянуть весь трафик через резервный линк >О,>случайно не очень недавно, с месяц назад ?! У нас тоже
>трабл был, линк до Швеции погас, а в новостях сказали кабель
>лопнул :) приколистыТочно дату не помню, но около того.
Patriot (11:06 PM) :
:)
Patriot (10:29 PM) :
сейчас !ВСЕ! хостинги, ставят отдельные сервера.
Да, на предприятии, можно делать систему. Для хостинга это не ВАРИАНТ.
Да, выходит из строя сервер баз данных... - сайт использующий базы данных "ОТДЫХАЕТ" ...!!!! Следовательно, не работает должным образом
Patriot (10:31 PM) :
нагрузку распределять не надо... как ресурсы сервера исчерпаны, ставится дополнительная машина
Patriot (10:31 PM) :
сейчас так делают все, потомучто это самый удачный вариант...
Patriot (10:32 PM) :
короче, я незнаю как с вами дальше работать... Элементарных вещей людям не понять
Patriot (10:33 PM) :
вот взял - ушёл. Если не согласны, скажите. Что-бы я мог продумывать другие варианты!!!!!!!!!!!!!!!!11
Patriot (10:33 PM) :
Чё резину тянете :(
vav (11:07 PM) :
я не ушел у меня нет глючитВот на меня гудять ... Дескать твои возражения .. Они говорят ставить 3 машины, на каждую Linux/BSD что там выберут и одинаковую настройку (apache, mysql, mail, i td). Я предлогаю
1 firewall
1 mail, dns, mysql, postgree
1 apache, ftpКак вы на это смотрите, и главное админа слушают меньше чем клиента, который врядли что-то петрит в этом. Только: так все делают :) ппц
>Вот на меня гудять ... Дескать твои возражения .. Они говорят ставить
>3 машины, на каждую Linux/BSD что там выберут и одинаковую настройку
>(apache, mysql, mail, i td).Так гораздо проще поступать в системах массового обслужиания, а главное надежнее и проще в управлении и мониторинге.
> Я предлогаю
>1 firewall
>1 mail, dns, mysql, postgree
>1 apache, ftpЭто лишнее усложнение, не нужно придумывать сложности, когда задачу можно решить более простыми методами. В итоге две машины из трех будут простаивать, 70%-80% клиентов вообще используют статику без скриптов, не говоря об SQL. К тому же возникает неоправданный гемморой с синхронизацией аккаунтов между mail/sql и apache/ftp машинами.
>Так гораздо проще поступать в системах массового обслужиания, а главное надежнее и
>проще в управлении и мониторинге.
У хостера 200 клиентов, 50 довольно крупные, флудят много. Почти каждые 20 мин.>> Я предлогаю
>>1 firewall
>>1 mail, dns, mysql, postgree
>>1 apache, ftp
>
>Это лишнее усложнение, не нужно придумывать сложности, когда задачу можно решить более
>простыми методами. В итоге две машины из трех будут простаивать, 70%-80%
>клиентов вообще используют статику без скриптов, не говоря об SQL. К
>тому же возникает неоправданный гемморой с синхронизацией аккаунтов между mail/sql и
>apache/ftp машинами.
Нет, тут нада надёжность, смотри когда я так раскидаю, машинки мне супер крутые не дадут, там Celeron 1.3 GHz, P4 1.6 max И всё. И сейчас есть 2хР3 800. А клиентов много .. А по поводу усложнения, недумаю, я написал уже на 90% сервис, который будет управлять 3 серверами, главное база на одном, а все остальные делают себе конфиги и работают. Качают базу по команде, у меня по моему сервису на каждом компе и они между собой будут болтать. Всё просто ! Элементарно. И работает! Правда не в таких маштабах, но чуть доработаю, компы получу и думаю что делать. Либо 3 одинаковых, или так. Нагрузку разделить по сервисам, машинки будут свободные. Если всё одинаково - будет флуд, что-то помрёт
>Если всё одинаково - будет флуд, что-то помрётЕсли одинаково - помрет 1 (клиенты на остальных 2 машинах будут работать), если как вы предлагаейте помрет все.
>Если одинаково - помрет 1 (клиенты на остальных 2 машинах будут работать),
>если как вы предлагаейте помрет все.
Никто не мешает, я бы даже сказал более того, помрут и все остальные. Как никак если идёт флуд, то сначала инженеринг провердут, узнают инфу, а потом атака. Помрёт всё. А если одну машину закрыть, а остальные будут через неё идти, всё будет замечательно.
Firewall откроет только те порты, которые заранее запланированы, и будет пересылать соединения, при этом ещё и фильтровать на уровне ядра ! А это несомненный плюс ! При этом эффективность флуда, резко снизится.
>а остальные будут через неё идти, всё будет замечательно.
>Firewall откроет только те порты, которые заранее запланированы, и будет пересылать соединения,Тоже самое сделает Firewall работающий на каждой из трех одинаковых машин, причем без пересылки соединений и прочих накладных расходов вида отдельной машины под firewall. Никто не мешает выполнять функцию фаерволинга хостинг нодам самостоятельно. Производительность пакетного фильтра будть то ipfw или iptables в сотни тысяч раз выше чем сможет обработать запросов apache, т.е. нагрузкой на хостинг систему от пакетного фильтра можно принебречь.
PS. Обычно rate-limit и подобное на cisco маршрутизаторе включают, который все сливки снимает и почти ничего локальному фаерволу не оставляет.