- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Если кто-то уже постарался до вас и снабдил nginx функционалом.
А в общем случае для программиста игра по чужим правилам всегда сложнее. Вы просто не программист, наверное.
если не секрет, чего в nginx вам нехватает? // в контексте защиты от небольшого ddos.
если не секрет, чего в nginx вам нехватает? // в контексте защиты от небольшого ddos.
Сегодня начал изучение nginx.
Предполагаю, что там есть много полезного для борьбы с ддос.
Хотя и моей программой я довольно успешно находил и блокировал ботов.
Как освою nginx, сообщу есть ли у моей самопиской программы какие то преимущества.
Himiko, железных фаерволов не бывает. Там внутри процессор(-ы) pc-класса. "Встраиваемые" не справляются.
Но бывают еще карты для быстрого анализа данных на ПЛИС. Возможно есть и отбрасыватели трафика на тех же ПЛИС, но процессор то тот же и алгоритмы вполне воспроизводимые должны быть.
Я понимаю, что всё воспроизводимо. Только бы изучить эти все алгоритмы... Как на жутко дорогостоящих фаервольных модулях.
Вот хотелось бы на простой "машнинке" это воспроизвести.
Сколько ни искал программы или литературу, натыкался на простенькие и малоэффективные скрипты, которых куча в интернете.
Himiko добавил 02.12.2009 в 22:50
Сегодня начал изучение nginx.
Предполагаю, что там есть много полезного для борьбы с ддос.
Хотя и моей программой я довольно успешно находил и блокировал ботов.
Как освою nginx, сообщу есть ли у моей самопиской программы какие то преимущества.
К примеру, кэширование на диск хорошо сокращает нагрузку. Там много фич полезных...
myhand, запуска iptables/ipset. Ведь если программа нашла бота, его имеет смысл заблокировать,засунуть в TARPIT, а не ждать пока он будет долбить в пределах установленных модулем limit_zone по тяжелому скрипту.
Ну и nginx никогда не сможет определить ddos на dns, а в программе это легко.
myhand, запуска iptables/ipset. Ведь если программа нашла бота, его имеет смысл заблокировать,засунуть в TARPIT, а не ждать пока он будет долбить в пределах установленных модулем limit_zone по тяжелому скрипту.
Ну и nginx никогда не сможет определить ddos на dns, а в программе это легко.
iptables/ipset нужно запускать из скрипта, парсящего error.log-файл nginx (который
кидает туда ip забаненых limit_(zone|req)). просто из соображений
производительности - лучше один раз запустить iptables-restore, чем сотню
отдельных iptables на каждый найденный ip.
Я понимаю, что всё воспроизводимо. Только бы изучить эти все алгоритмы... Как на жутко дорогостоящих фаервольных модулях.
Вот хотелось бы на простой "машнинке" это воспроизвести.
Сколько ни искал программы или литературу, натыкался на простенькие и малоэффективные скрипты, которых куча в интернете
в документации на nginx написано что используется leaky bucket.
netwind добавил 02.12.2009 в 23:29
iptables/ipset нужно запускать из скрипта, парсящего error.log-файл nginx (который
то есть, писать скрипт все равно придется? вы ничего про скрипт не сказали изначально.
ну а что будем делать с ддосом на shoutcast/red5/smtp/какой-нибудь_еще_странный_но_нужный_сервис ?
Я такой скрипт тоже делал, только у меня в виде "демона", поэтому написан не на шеле. У меня программа в реальном времени отлавливает подключения. Работает и на линуксе и на FreeBSD. Просто достаточно перекомпилировать, а программа при запуске определит систему и будет пользоваться либо iptables, либо ipfw.
Но эти алгоритмы отлова не достаточно эффективны, хотелось бы реализовать программно основные алгоритмы "железных" фаерволов. Т.е. точнее определять паразитный трафик. Возможно использовать программу в паре с nginx, чтобы принимались меры по защите атакуемого сайта автоматически.
Мыслей много, но что-то я перестал этим заниматься уже давно.
серьёзный ddos мало какой скрипт отразит,и фаервол,не надо ломать голову над скриптами, все за вас придумали..iptables работает в принце-пе прекрасно,со всеми видами атак...ну хотя атак не так много, смысла один нагрузить канал, либо если нету ограничение нагрузить веб сервер...но скажу вам одну вещь если у вас сервант в дц обычный 10 мегабайт....то при 3 мегабайтном досе, даже если вы залочите 80 порт, вы не сможете работать нормально...слишком много будет паразитного трафика и будут существенные потери,вопще по всей идеи отражать вредный трафик должен аплинкер,так или иначе у него намного больше возможности отсеивать его, чем вам справляться стем что на вас на валилось (обленились они) :)...так-шо крупный дос не отразим...а мелкий решаемый уже готовыми методами...поэтому не ломайте голову а просто используйте то что уже зделали за всех нас...l🍻
то есть, писать скрипт все равно придется? вы ничего про скрипт не сказали изначально.
там вся логика: "нашли IP в error-логе N раз с момента прошлого парсинга - отправили в бан".
строчка awk + iptables/ipset/iptables-restore.
я, собственно, упомянул выше о том, что nginx - "полуфабрикат". это не
решение "искаропки", просто его легче адаптировать (на уровне конфигов а не
кода) под конкретный сайт.
ну а что будем делать с ддосом на shoutcast/red5/smtp/какой-нибудь_еще_странный_но_нужный_сервис ?
для smtp/pop/imap/что-nginx-умеет-проксировать - можно пробовать его в качестве
отправной точки. а так - что-то специализированное. nginx-не панацея, ниразу.
но речь и шла о HTTP только.
для smtp/pop/imap/что-nginx-умеет-проксировать - можно пробовать его в качестве
отправной точки. а так - что-то специализированное.
а ТС просто адаптирует функцию разбора лога. Все остальное уже написано. В этом сила самодельного велосипеда.
серьёзный ddos мало какой скрипт отразит,и фаервол,не надо ломать голову над скриптами, все за вас придумали..iptables работает в принце-пе прекрасно,со всеми видами атак...ну хотя атак не так много, смысла один нагрузить канал, либо если нету ограничение нагрузить веб сервер...но скажу вам одну вещь если у вас сервант в дц обычный 10 мегабайт....то при 3 мегабайтном досе, даже если вы залочите 80 порт, вы не сможете работать нормально...слишком много будет паразитного трафика и будут существенные потери,вопще по всей идеи отражать вредный трафик должен аплинкер,так или иначе у него намного больше возможности отсеивать его, чем вам справляться стем что на вас на валилось (обленились они) :)...так-шо крупный дос не отразим...а мелкий решаемый уже готовыми методами...поэтому не ломайте голову а просто используйте то что уже зделали за всех нас...l🍻
И что "за нас" придумали? DDos отражает устройство. Что мешает сделать всё это на базе "компьютера"? Речь тут не о каналах и т.д., а о самой реализации.
И не обязательно для этого использовать тот же сервер, что и для web.