The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Для nginx подготовлен модуль для организации блокировки клие..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от opennews (??) on 27-Сен-13, 20:55 
Для http-сервера nginx подготовлен (http://flant.ru/projects/nginx-http-rdns) модуль nginx-http-rdns (https://github.com/flant/nginx-http-rdns) с реализацией поддержки механизма контроля доступа по доменному имени клиента. Изначально nginx позволяет использовать в правилах только IP-адрес клиента, с которого поступил запрос. Представленный модуль с помощью rDNS-запроса выполняет преобразование IP в доменное имя и даёт возможность использования определённого имени хоста в правилах nginx. Например, можно сформировать простые списки контроля доступа на основе доменного имени, которые могут оказаться полезными при организации защиты от DDoS-атак или формирования списка исключений.


URL: http://flant.ru/projects/nginx-http-rdns
Новость: http://www.opennet.me/opennews/art.shtml?num=38008

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Для nginx подготовлен модуль для организации блокировки клие..."  +17 +/
Сообщение от Аноним (??) on 27-Сен-13, 20:55 
Во время DDoS-атак только rDNS и не хватало.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Для nginx подготовлен модуль для организации блокировки клие..."  +1 +/
Сообщение от Аноним (??) on 27-Сен-13, 21:50 
Рекурсивный ддос nginx)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Аноним (??) on 28-Сен-13, 00:03 
Наверное, расчет идет на то, что есть локальный кэшер.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Для nginx подготовлен модуль для организации блокировки клие..."  +6 +/
Сообщение от Аноним (??) on 28-Сен-13, 01:55 
Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Для nginx подготовлен модуль для организации блокировки клие..."  +1 +/
Сообщение от Аноним (??) on 28-Сен-13, 02:35 
> Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...

И обязательно их все обновлять по истечении TTL.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Dmitry Shurupov (ok) on 28-Сен-13, 17:13 
> Наверное, расчет идет на то, что есть локальный кэшер.

Используется стандартный resolver из HttpCoreModule.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

2. "Для nginx подготовлен модуль для организации блокировки клие..."  +10 +/
Сообщение от Vee Nee email on 27-Сен-13, 21:01 
Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Аноним (??) on 28-Сен-13, 01:56 
> Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы
> можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!

Предлагаю пойти немного дальше и запускать syn-flood на каждого гaвнюка, смеющего атаковать ваш хост. А если это не поможет - лить каждому боту крутой UDP флуд. Вопрос о том где взять столько бандвиза оставим за кадром. Подумаем как-нибудь потом.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Аноним (??) on 28-Сен-13, 02:32 
Да фиг с ними, атакующими! Надо свой DNS-сервер бить! Как говорится, бей своих, чтобы чужие боялись.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от бедный буратино (ok) on 28-Сен-13, 08:12 
> Поделись атакою своей!

И она к тебе не раз ещё вернётся...

Эх, дуэль Ареафиксов, я скучал по тебе! :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Sadok (??) on 28-Сен-13, 17:57 
> Эх, дуэль Ареафиксов, я скучал по тебе! :)

Детство вернулось =)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

5. "Для nginx подготовлен модуль для организации блокировки клие..."  +4 +/
Сообщение от Аноним (??) on 27-Сен-13, 22:09 
Подобные блокировки при DDoS нужно делать не на лету, а через парсинг лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. Иначе резолвингом при каждом запросе только усугубим ситуацию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Аноним (??) on 28-Сен-13, 02:34 
> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг
> лога/ резолвинга раз в несколько минут и фонового построения списка блокировки.
> Иначе резолвингом при каждом запросе только усугубим ситуацию.

Да и делается это на уровне фаервола, а не сервера (ipset в linux, pf tables в BSD).
От джинкса требуется только вменяемый лог. Но с этим вроде никаких проблем нет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Dmitry Shurupov (ok) on 28-Сен-13, 17:11 
> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг
> лога/ резолвинга раз в несколько минут и фонового построения списка блокировки.
> Иначе резолвингом при каждом запросе только усугубим ситуацию.

Используется стандартный resolver из nginx (есть кэш). Поддерживаются "if".

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Sw00p aka Jerom on 28-Сен-13, 00:17 
блокирующий режим ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от бедный буратино (ok) on 28-Сен-13, 07:01 
Чот маловразумительно. Не поможет.

А есть ли для nginx такой модуль или режим, чтобы отделял зёрна от роботов, типа: этот клиент внаглую игнорирует css и картинки, быстро делает запросы, пишет тупые однообразные комментарии и ищет php там, где его отродясь не видали - значит, это робот и ему доступ закрыть, надолго.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Dmitry Shurupov (ok) on 28-Сен-13, 16:39 
Нам помогает. В определенной степени, но всё же — иначе бы и не придумывали.

Универсальных решений нет и [в абсолютном понимании] не будет: как только улучшается защита, улучшаются и способы «нападения».

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Анонизм on 29-Сен-13, 02:20 
Что за степень определенная? Пример?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Dmitry Shurupov (ok) on 29-Сен-13, 14:56 
Пример из жизни — идёт вялый, но постоянный DDoS на кучу веб-сайтов. Особо рьяные-очевидные IP-адреса блокируются firewall'ом, «средние» — прогоняются через nginx с testcookie+rdns: хорошие IP-адреса (с хостами, определившимися как yandex/google/etc) пропускаются без ограничений, на доступ для остальных накладывается ограничение по количеству подключений в минуту + могут быть дополнительные проверки.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Для nginx подготовлен модуль для организации блокировки клие..."  +/
Сообщение от Timosha on 30-Сен-13, 14:17 
бгг, про DDoS - фантазии автора новости конечно :) но модуль может пригодиться, например чтобы зарубить на nginx'е тех, кто прикидывается яндекс ботом, но таковым не является :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру