Для nginx подготовлен модуль для организации блокировки клиентских запросов по доменному имени

27.09.2013 17:13

Для http-сервера nginx подготовлен модуль nginx-http-rdns с реализацией поддержки механизма контроля доступа по доменному имени клиента. Изначально nginx позволяет использовать в правилах только IP-адрес клиента, с которого поступил запрос. Представленный модуль с помощью rDNS-запроса выполняет преобразование IP в доменное имя и даёт возможность использования определённого имени хоста в правилах nginx. Например, можно сформировать простые списки контроля доступа на основе доменного имени, которые могут оказаться полезными при организации защиты от DDoS-атак или формирования списка исключений.

исправить +2 +/–

Главная ссылка к новости (http://flant.ru/projects/nginx...)

Автор новости: Dmitry Shurupov

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38008-nginx

Ключевые слова: nginx, dns, acl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (20)

1.1, Аноним (-), 20:55, 27/09/2013 [ответить] [﹢﹢﹢] [ · · · ]	+15 +/–
Во время DDoS-атак только rDNS и не хватало.

2.3, Аноним (-), 21:50, 27/09/2013 [^] [^^] [^^^] [ответить]	+1 +/–
Рекурсивный ддос nginx)

2.6, Аноним (-), 00:03, 28/09/2013 [^] [^^] [^^^] [ответить]	+/–
Наверное, расчет идет на то, что есть локальный кэшер.

3.8, Аноним (-), 01:55, 28/09/2013 [^] [^^] [^^^] [ответить]	+6 +/–
Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание...

4.12, Аноним (-), 02:35, 28/09/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> Типа, заранее прокэшировать реверс-адреса всей планеты? Ну да, перспективное начинание... И обязательно их все обновлять по истечении TTL.

3.17, Dmitry Shurupov (ok), 17:13, 28/09/2013 [^] [^^] [^^^] [ответить]	+/–
> Наверное, расчет идет на то, что есть локальный кэшер. Используется стандартный resolver из HttpCoreModule.

1.2, Vee Nee (?), 21:01, 27/09/2013 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все!

2.9, Аноним (-), 01:56, 28/09/2013 [^] [^^] [^^^] [ответить]	+/–
> Поделись атакою своей! Предлагаю еще делать whois для каждого атакующего IP, чтобы > можно было банить по мейнтейнерам, админам, организациям и автономкам. Танцуют все! Предлагаю пойти немного дальше и запускать syn-flood на каждого гaвнюка, смеющего атаковать ваш хост. А если это не поможет - лить каждому боту крутой UDP флуд. Вопрос о том где взять столько бандвиза оставим за кадром. Подумаем как-нибудь потом.

3.10, Аноним (-), 02:32, 28/09/2013 [^] [^^] [^^^] [ответить]	+/–
Да фиг с ними, атакующими! Надо свой DNS-сервер бить! Как говорится, бей своих, чтобы чужие боялись.

2.14, бедный буратино (ok), 08:12, 28/09/2013 [^] [^^] [^^^] [ответить]

+/–

> Поделись атакою своей!

И она к тебе не раз ещё вернётся...

Эх, дуэль Ареафиксов, я скучал по тебе! :)

3.18, Sadok (??), 17:57, 28/09/2013 [^] [^^] [^^^] [ответить]

+/–

> Эх, дуэль Ареафиксов, я скучал по тебе! :)

Детство вернулось =)

1.5, Аноним (-), 22:09, 27/09/2013 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Подобные блокировки при DDoS нужно делать не на лету, а через парсинг лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. Иначе резолвингом при каждом запросе только усугубим ситуацию.

2.11, Аноним (-), 02:34, 28/09/2013 [^] [^^] [^^^] [ответить]	+/–
> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг > лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. > Иначе резолвингом при каждом запросе только усугубим ситуацию. Да и делается это на уровне фаервола, а не сервера (ipset в linux, pf tables в BSD). От джинкса требуется только вменяемый лог. Но с этим вроде никаких проблем нет.

2.16, Dmitry Shurupov (ok), 17:11, 28/09/2013 [^] [^^] [^^^] [ответить]	+/–
> Подобные блокировки при DDoS нужно делать не на лету, а через парсинг > лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. > Иначе резолвингом при каждом запросе только усугубим ситуацию. Используется стандартный resolver из nginx (есть кэш). Поддерживаются "if".

1.7, Sw00p aka Jerom (?), 00:17, 28/09/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
блокирующий режим ?

1.13, бедный буратино (ok), 07:01, 28/09/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чот маловразумительно. Не поможет. А есть ли для nginx такой модуль или режим, чтобы отделял зёрна от роботов, типа: этот клиент внаглую игнорирует css и картинки, быстро делает запросы, пишет тупые однообразные комментарии и ищет php там, где его отродясь не видали - значит, это робот и ему доступ закрыть, надолго.

2.15, Dmitry Shurupov (ok), 16:39, 28/09/2013 [^] [^^] [^^^] [ответить]	+/–
Нам помогает. В определенной степени, но всё же — иначе бы и не придумывали. Универсальных решений нет и [в абсолютном понимании] не будет: как только улучшается защита, улучшаются и способы «нападения».

3.19, Анонизм (?), 02:20, 29/09/2013 [^] [^^] [^^^] [ответить]	+/–
Что за степень определенная? Пример?

4.20, Dmitry Shurupov (ok), 14:56, 29/09/2013 [^] [^^] [^^^] [ответить]	+/–
Пример из жизни — идёт вялый, но постоянный DDoS на кучу веб-сайтов. Особо рьяные-очевидные IP-адреса блокируются firewall'ом, «средние» — прогоняются через nginx с testcookie+rdns: хорошие IP-адреса (с хостами, определившимися как yandex/google/etc) пропускаются без ограничений, на доступ для остальных накладывается ограничение по количеству подключений в минуту + могут быть дополнительные проверки.

1.21, Timosha (?), 14:17, 30/09/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
бгг, про DDoS - фантазии автора новости конечно :) но модуль может пригодиться, например чтобы зарубить на nginx'е тех, кто прикидывается яндекс ботом, но таковым не является :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: