Для http-сервера nginx подготовлен (http://flant.ru/projects/nginx-http-rdns) модуль nginx-http-rdns (https://github.com/flant/nginx-http-rdns) с реализацией поддержки механизма контроля доступа по доменному имени клиента. Изначально nginx позволяет использовать в правилах только IP-адрес клиента, с которого поступил запрос. Представленный модуль с помощью rDNS-запроса выполняет преобразование IP в доменное имя и даёт возможность использования определённого имени хоста в правилах nginx. Например, можно сформировать простые списки контроля доступа на основе доменного имени, которые могут оказаться полезными при организации защиты от DDoS-атак или формирования списка исключений.

URL: http://flant.ru/projects/nginx-http-rdns
Новость: http://www.opennet.me/opennews/art.shtml?num=38008

• Для nginx подготовлен модуль для организации блокировки клие...,Аноним, 20:55 , 27-Сен-13
  • Для nginx подготовлен модуль для организации блокировки клие...,Аноним, 21:50 , 27-Сен-13
  • Для nginx подготовлен модуль для организации блокировки клие...,Аноним, 00:03 , 28-Сен-13
    • Для nginx подготовлен модуль для организации блокировки клие...,Аноним, 01:55 , 28-Сен-13
      • Для nginx подготовлен модуль для организации блокировки клие...,Аноним, 02:35 , 28-Сен-13
    • Для nginx подготовлен модуль для организации блокировки клие...,Dmitry Shurupov, 17:13 , 28-Сен-13
• Для nginx подготовлен модуль для организации блокировки клие...,Vee Nee, 21:01 , 27-Сен-13
  • Для nginx подготовлен модуль для организации блокировки клие...,Аноним, 01:56 , 28-Сен-13
    • Для nginx подготовлен модуль для организации блокировки клие...,Аноним, 02:32 , 28-Сен-13
  • Для nginx подготовлен модуль для организации блокировки клие...,бедный буратино, 08:12 , 28-Сен-13
    • Для nginx подготовлен модуль для организации блокировки клие...,Sadok, 17:57 , 28-Сен-13
• Для nginx подготовлен модуль для организации блокировки клие...,Аноним, 22:09 , 27-Сен-13
  • Для nginx подготовлен модуль для организации блокировки клие...,Аноним, 02:34 , 28-Сен-13
  • Для nginx подготовлен модуль для организации блокировки клие...,Dmitry Shurupov, 17:11 , 28-Сен-13
• Для nginx подготовлен модуль для организации блокировки клие...,Sw00p aka Jerom, 00:17 , 28-Сен-13
• Для nginx подготовлен модуль для организации блокировки клие...,бедный буратино, 07:01 , 28-Сен-13
  • Для nginx подготовлен модуль для организации блокировки клие...,Dmitry Shurupov, 16:39 , 28-Сен-13
    • Для nginx подготовлен модуль для организации блокировки клие...,Анонизм, 02:20 , 29-Сен-13
      • Для nginx подготовлен модуль для организации блокировки клие...,Dmitry Shurupov, 14:56 , 29-Сен-13
• Для nginx подготовлен модуль для организации блокировки клие...,Timosha, 14:17 , 30-Сен-13

Во время DDoS-атак только rDNS и не хватало.

Рекурсивный ддос nginx)

Наверное, расчет идет на то, что есть локальный кэшер.

Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...

> Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...

И обязательно их все обновлять по истечении TTL.

> Наверное, расчет идет на то, что есть локальный кэшер.

Используется стандартный resolver из HttpCoreModule.

Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!

> Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы
> можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!

Предлагаю пойти немного дальше и запускать syn-flood на каждого гaвнюка, смеющего атаковать ваш хост. А если это не поможет - лить каждому боту крутой UDP флуд. Вопрос о том где взять столько бандвиза оставим за кадром. Подумаем как-нибудь потом.

Да фиг с ними, атакующими! Надо свой DNS-сервер бить! Как говорится, бей своих, чтобы чужие боялись.

> Поделись атакою своей!

И она к тебе не раз ещё вернётся...

Эх, дуэль Ареафиксов, я скучал по тебе! :)

> Эх, дуэль Ареафиксов, я скучал по тебе! :)

Детство вернулось =)

Подобные блокировки при DDoS нужно делать не на лету, а через парсинг лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. Иначе резолвингом при каждом запросе только усугубим ситуацию.

> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг
> лога/ резолвинга раз в несколько минут и фонового построения списка блокировки.
> Иначе резолвингом при каждом запросе только усугубим ситуацию.

Да и делается это на уровне фаервола, а не сервера (ipset в linux, pf tables в BSD).
От джинкса требуется только вменяемый лог. Но с этим вроде никаких проблем нет.

> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг
> лога/ резолвинга раз в несколько минут и фонового построения списка блокировки.
> Иначе резолвингом при каждом запросе только усугубим ситуацию.

Используется стандартный resolver из nginx (есть кэш). Поддерживаются "if".

блокирующий режим ?

Чот маловразумительно. Не поможет.

А есть ли для nginx такой модуль или режим, чтобы отделял зёрна от роботов, типа: этот клиент внаглую игнорирует css и картинки, быстро делает запросы, пишет тупые однообразные комментарии и ищет php там, где его отродясь не видали - значит, это робот и ему доступ закрыть, надолго.

Нам помогает. В определенной степени, но всё же — иначе бы и не придумывали.

Универсальных решений нет и [в абсолютном понимании] не будет: как только улучшается защита, улучшаются и способы «нападения».

Что за степень определенная? Пример?

Пример из жизни — идёт вялый, но постоянный DDoS на кучу веб-сайтов. Особо рьяные-очевидные IP-адреса блокируются firewall'ом, «средние» — прогоняются через nginx с testcookie+rdns: хорошие IP-адреса (с хостами, определившимися как yandex/google/etc) пропускаются без ограничений, на доступ для остальных накладывается ограничение по количеству подключений в минуту + могут быть дополнительные проверки.

бгг, про DDoS - фантазии автора новости конечно :) но модуль может пригодиться, например чтобы зарубить на nginx'е тех, кто прикидывается яндекс ботом, но таковым не является :)