Анализатор логов ddosViewer вебсервера для поиска ддос флуда

Бенчмарки как раз нормальные. Просто они хорошо умеют юзать регекспы перла.

myhand, чтобы не писать свои модулу для nginx на С, на котором только курсовые пишут и линуксоиды.

Так можно придумать больше гибкости и потенциальных эвристик.

К nginx можно и на c++ писать. В конце концов, написать можно маленькую прослойку, которая определенным образом будет вызывать большую программу на другом языке.

Boris A Dolgov, а зачем писать прослойку, когда можно не писать? еще одна причина - тут не нужна обратная связь с nginx. программа отдает команды файрволу.

И не понятно с чего это парсинг лога - куцый ? в лог довольно много можно информации записывать.

Нужна. Блокировать сразу на файерволе - это для джедаев (или для простого over 9000: GET /). Почему не отдать подозрительному клиенту сперва 503 или что-то подобное в сомнительном случае?

Ну, в данном примере - куцый.

А в более общем случае (когда аффтар таки осилит возможности логгирования запросов веб-сервером) - Вы, надеюсь, не будете спорить, что у самого веб сервера информации о запросе чуть поболее, чем он в принципе готов писать в логи?

+мильен

всегда настраиваю лимиты (плюс еще кое-что), а уже потом, если вдруг станет такая надобность, скриптом в полстроки баню гадов. и в 95% случаев не нужно тут никаких костылей в виде демонов парсящих часами логи и прочей ерунды, а школоатаки даже на LA не сказываются и клиент ничего не замечает пока не ткнешь ему...

myhand, проще блокировать. Думаю, мало кто этим заморачивается. Генерировать капчу это немало ресурсов нужно.

в конце концов, ради того чтобы не погружаться в C, можно опять же файрволом сделать редирект на специальный сайт со специальным обработчиком. Результат проверки тоже из логов достать.

А еще такой скрипт может легко взаимодействовать с текущими сессиями пользователей, которые хранятся в произвольном месте и заносить их в белый список. Тут вон на форуме полно жалоб на временную блокировку аккаунтов по причине агрессивного срабатывания защиты. И ведь свести на нет такие случаи легко.Интеграция разных систем - сильная сторона perl.

И С-джедай долбанется изучать библиотеки взаимодействия и обязательно что-нибудь не освободит. А, что хуже всего, может неаккуратным программированием завалить процесс вебсервера и тогда вообще все перестанет работать.

Буду. Чего именно существенного нету в CustomLog http://httpd.apache.org/docs/2.0/mod/mod_log_config.html#formats ?

netwind, исключения:

1) NAT

2) если есть куча свободных ресурсов (а так и будет), то интереснее анализировать поведение ботов, выдавая им какие-нибудь ошибки или специальные страницы вроде бесконечного яваскрипта, но выясняя критерии простого обнаружения "ботности".

Boris A Dolgov

1 - это реально дебилом нужно быть, чтобы добровольно терять информацию об IP и заниматься блокировкой ботов. Так не бывает.

2 - понимаю, но это не отменяет всех ужасов C/C++.

Заносить IP зарегистрированных пользователей сайта в белый список(которому все разрещено) не всегда может быть правильным.

Так как бывают ситуации, когда начинающий школьник-ддосер атакует со своего компьютера.

Cначала зарегистрируется на сайте, ходит по нему как пользователь через браузер, и паралельно запускает ддосилку наподобии Loic со своего же компа.

Если таких школьников-ддосеров будет несколько, то создадут серьезную нагрузку.

На хакерских сайтах есть форумы, где школьники объединяются в группы и с помощью Loic ддосят со своих компов.

Потом получают неописуемое удовольствие, когда видят что сайт перестает открываться.

Идиоты одним словом, потом многим из них провайдер Инет отключает за вирусную активность.

Поэтому IP зарегистрированных пользователей можно заносить в белый список, но для кликов с белого списка, тоже проверки нужно делать например с более высокими лимитами.