Dos флуд по http, как вылечить?

Anonymous1111, Иди и книжки читай. А перед этим научись правильно задаваь вопросы и общаться с людьми. Тебе реально помочь пытались, пока ты ут всем не показал своё отношение. То, что ты ещё глуп и молод - видно по поведению. А раз тебя накидали аж на 15к, которые ты считаешь деньгами по всей видимости, можем только посочуствовать. Но тебе обяснили - или плати, или делай сам. И даже помогли решить проблему.

Пойми, сынок, тебе тут никто ничего не должен. Если будешь задавать вопросы правильно и сам что-то делать - поможем. А если ты хочешь сесть на шею - тебе не сюда, тебе в раздел "ищу сотрудников".

На, держи, раз, два. По второй ссылке я тебе уже и решение написал - просто в конфиг вставить осталось, но нет - лучше написать еще 100500 сообщений, чем что-то сделать самому.

А где два я не понимаю в какие секции правильно вставить данный код

Где два прочитай про протокол ***%#%%*. Ты %#%**^%%

Все мой запас терпения опять кончился, удаляюсь...

1 кто виноват в том что тебя кинули на бабки?!

2 Вот после таких изречений твоих складывается мнение, что кидаловом попахивает!

С чего мне тебе верить, у тебя ни стажа на форме не уважения и еще ты предлагаешь по схеме кидалово ( утром стулья, а вечером деньги)!

CF пропускает такое

Судя по скрину какая-то тулза из паблика со случайным User-Agent. Не пробовали прокси перебанить по количеству запросов с одного IP на уровне конфига nginx (deny from 1.1.1.1;) ?

Привет, да кидал эти прокси в файлик .htaccess, там такой список этих ип адресов, откуда идут запросы + они иногда меняются

А так я настроил файлы sysctl.conf и nginx.conf на большую выдержку при Dos, сейчас норм сервер не ложится, я теперь решаю проблему на уровне iptables, некоторые ньюансы еще не понял, в процессе) но основной трафик dosa я отбил именно через iptables

Проблема решается посредством Iptables

СТавится Iptables, если Debian8, команда

apt-get install nftables

Cтавится fail2ban там по умолчанию защита от взлома сервера к админке

aptitude install fail2ban

Пишутся правила для Iptables

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP

echo "20000" > /proc/sys/net/ipv4/tcp_max_syn_backlog

echo "1" > /proc/sys/net/ipv4/tcp_synack_retries

echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout

echo "5" > /proc/sys/net/ipv4/tcp_keepalive_probes

echo "15" > /proc/sys/net/ipv4/tcp_keepalive_intvl

echo "20000" > /proc/sys/net/core/netdev_max_backlog

echo "20000" > /proc/sys/net/core/somaxconn

От syn_flooda

iptables -N syn_flood

iptables -A INPUT -p tcp --syn -j syn_flood

iptables -A syn_flood -m limit --limit 500/s --limit-burst 2000 -j RETURN

iptables -A syn_flood -j DROP

Еще полезные фичи:

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP

iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP

iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP

iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP

После сохраняете

iptables-save

Настройка от нагрузки файлов nginx.conf, sysctl.conf

/etc/nginx/nginx.conf

/etc/sysctl.conf

В файл sysctl.conf, в конец файла, пишите это строки, сервер после перезагружаете

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.eth0.accept_redirects = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.lo.accept_source_route = 0

net.ipv4.conf.eth0.accept_source_route = 0

net.ipv4.conf.default.accept_source_route = 0

net.ipv4.ip_local_port_range = 1024 65535

net.ipv4.ip_forward = 0

net.ipv4.icmp_echo_ignore_broadcasts = 1

net.core.rmem_max = 996777216

net.core.wmem_max = 996777216

net.ipv4.tcp_rmem = 4096 87380 4194304

net.ipv4.tcp_mem= 786432 1048576 996777216

net.ipv4.tcp_wmem = 4096 87380 4194304

net.ipv4.tcp_max_orphans = 2255360

net.core.netdev_max_backlog = 10000

net.ipv4.tcp_fin_timeout = 10

net.ipv4.tcp_keepalive_intvl = 15

net.ipv4.tcp_max_syn_backlog = 4046

net.ipv4.tcp_synack_retries = 1

net.ipv4.tcp_keepalive_time=60

net.ipv4.tcp_keepalive_intvl=10

net.ipv4.tcp_keepalive_probes=5

kernel.msgmnb = 65536

kernel.msgmax = 65536

kernel.shmmax = 494967295

kernel.shmall = 268435456

net.core.somaxconn= 16096

Находите в файле nginx.conf строчки, и меняете на:

worker_rlimit_nofile 100000;

worker_connections 65000;

gzip_comp_level 7;

gzip_buffers 8 64k;

# File cache settings

open_file_cache max=10000 inactive=30s;

open_file_cache_valid 60s;

open_file_cache_min_uses 2;

open_file_cache_errors off;

http {

# Main settings

sendfile on;

tcp_nopush on;

tcp_nodelay on;

client_header_timeout 10;

client_body_timeout 10;

client_header_buffer_size 1k;

client_body_buffer_size 1k;

client_max_body_size 10k;

large_client_header_buffers 2 1k;

send_timeout 10;

keepalive_timeout 5 5;

reset_timedout_connection on;

server_tokens off;

server_name_in_redirect off;

server_names_hash_max_size 512;

server_names_hash_bucket_size 512;

limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:5m;

limit_req_zone $binary_remote_addr zone=req_limit_per_ip:5m rate=5r/s;

server {

limit_conn conn_limit_per_ip 5;

limit_req zone=req_limit_per_ip burst=5 nodelay;

}

Так DOS флуд GET запросов c разных ip, прокси останавливается, трафик в 3-5мб/cек падает, проц не грузится на 100%, сервер, сайт не упадет.

PS. Вдруг кто столкнется с похожей проблемой и не сможете решить сами, пишите в лс в телегу @KrolikQ

Серьезно? Будешь консультировать людей после этого топика? :)))

Этот малохольный уже и на opennet.ru пытается вымолить настройки сервера.

https://www.opennet.ru/openforum/vsluhforumID15/4558.html