Форум Сайтостроение Администрирование серверов

lighttpd vs nginx

valsha
На сайте с 07.09.2008
Offline
107
valsha
3511

Доброй ночи Вам.

Хотел бы услышать мнения людей кто работал с lighttpd и nginx.

Недавно сайт работающий под управлением lighttpd начали банально ДДоСить.

При установке сервера и выбора lighttpd в свое время выбор ему (lighttpd) был отдан из за его работы (асинхр.).

Но вот на днях во время ДДоСа, увидел печальную картину в логах lighttpd:

"sockets disabled, connection limit reached"

Понимаю что банально уже не хватает сокетов для работы сервису?

Хотел бы узнать как с этим делом у nginx, будет ли держать существенно больше коннектов?

Канал к серверу не забили, по ssh работать можно было как обычно, никаких намеков на то что канал сильно нагружают ДДоСом.

Хотел бы поставить nginx + fast-cgi, но не уверен что будет существенно запас выше на такие вот шалости, просто банально нет практики работы с nginx, да и под ДДоС попадал не часто)

Спасибо за ответы.

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#1

Будет больше, главное чтоб памяти хватало

У меня большой опыт с nginx и ddos, обращайтесь

Не стоит плодить сущности без необходимости
hostmaster
На сайте с 26.05.2009
Offline
26
hostmaster
#2

это не в lighttpd кончились сокеты а вы достигли установленого максимального значения, увеличьте в конфиге лимит на ко-во соединений и проверьте число дискрипторов

server.max-connections =

server.max-fds =

I'm lost without tcpdump
valsha
На сайте с 07.09.2008
Offline
107
valsha
#3

server.max-fds = 10000

server.max-connections = 5000

но тогда помойму надо lighttpd запускать из под root'a?

M
На сайте с 16.09.2009
Offline
278
myhand
#4

не обязательно. увеличте лимиты для системного

пользователя, из под которого работает лайти.

чудес о nginx'а не ждите, они с лайти принципиально мало чем

отличаются. mpm event апачевский из той же компании.

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().
valsha
На сайте с 07.09.2008
Offline
107
valsha
#5

1. юзеру lighttpd добавил "ресурсов":

/etc/security/limits.conf:

lighttpd soft nofile 4096

lighttpd hard nofile 63536

2. настроил немного sysctl:

/etc/sysctl.conf:

fs.file-max = 100000

3. в самом lighttpd сделал:

server.max-fds = 8192

server.max-connections = 4096

4. #su - lighttpd

and

$ulimit -n

Как думаете можно еще что то "подкрутить"?

Рекомендуют еще mysql немного затюнинговать:

/etc/security/limits.conf

mysql soft nofile 202860

mysql hard nofile 405720

mysql soft nproc 33792

mysql hard nproc 67584

Есть у кого либо советы? Спасибо.

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#6

Такие меры не спасут сайт от более-менее умного ddos...

valsha
На сайте с 07.09.2008
Offline
107
valsha
#7

А что спасет? Редирект тарафика всего на какой то из "сервисов по отмывке трафика" и уже вам возвращают на ваш веб сервер "чистый" трафик?

Такой вариант мне не интересен, потому что я им сейчас пользуюсь :)

Мне интересно как своими силами справится с ddos'ом до 100мегабит, имея примерно один сервер (4ядра,4GB RAM).

Конечно же если на меня будут лить больше 100мегабит я уйду опять к "сервису".

M
На сайте с 16.09.2009
Offline
278
myhand
#8
valsha:
Есть у кого либо советы? Спасибо.

если ваша цель, чтобы сервер подавал признаки жизни и в

случае ddos-атаки (чтобы по ssh можно было зайти и работать, например)

- нужно выставить лимиты в соответствие с возможностями системы

общих рекоммендаций тут нет, смотрите сколько типичный реквест отбирает

CPU, памяти. и лучше перебдеть, чем недобдеть :D

Andreyka:
Такие меры не спасут сайт от более-менее умного ddos...

от ddos есть единственное средство - бан на файерволе

только перед тем, чтобы отправить IP бота в бан - нужно, чтобы

сервер "шевелился" под нагрузкой, для чего и служат системные лимиты.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий