- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Приветствую!
Уже много разных атак приходилось гасить, вот теперь встретился с чем то похожим на SYN flood,
80й порт забивается соединениями со статусами LAST_ACK, сейчас например их 23685
Как бороться с такой атакой? Есть ли защита на уровне системы или надо просто дропить IP с такими статусами?
Dimanych, От 24к соединений у вас падает сервер ?
В сумме 50-60тыс подключений, просто в состоянии LAST_ACK 24тысчи.
И он совсем не падает, 80й порт в очереди видимо. По логам nginx писал что ему мало подключений, было worker_connections 4000, сделал 10000, ошибка пропала, а сайты так и не открывались, или открывались через минуту.
Пришлось блокать IP адреса которые занимали более 100 состояний подключений.
Но такое решение не очень нравится.
Dimanych, Нормальный ip не должен делать более 70-100 подключений + я вижу логичным блокировать не англофицированные страны по GEO, если ваши сайты не рассчитанны под них :)
Уже много разных атак приходилось гасить, вот теперь встретился с чем то похожим на SYN flood,
80й порт забивается соединениями со статусами LAST_ACK, сейчас например их 23685
если в логах вебсервера есть полноценные запросы, то это никакой не синфлуд и не выдуманный вами tcp LAST_ACK, а просто хороший нешкольный ботнет.
Поддерживаю kxk - если отбрасывать пакеты на уровне ядра по странам и данным GeoIP, то можно весьма эффективно экономить ресурсы сервера. Практически это последнее, что вы можете сделать полагаясь только на свой сервер. Следующий этап - специализированный сервис.
Разумеется, часть ботов будет и из не отфильтрованных стран. Такой трафик тоже нужно обрабатывать и блокировать IP по одному, но этот объем работы значительно меньше.
Я не говорил что это синфлуд, я сказал что эффект похожий, подключения в ожидании.
Дело то в том что запросы не доходят до апача, они через nginx то не проходят вообще, в access_log ничего не пишется, в error_log только о превышении worker connection писалось, после увеличения вообще ничего не писалось.
LAST_ACK состояние - это не обычный дос, при обычном другие симтомы, не первый раз воюю ;)
На счёт ограничения на 100, это помогло, сайты заработали, но для нормальной работы сервера этого мало, очень частые блоки обычных клиентов, которые например закачивают файлы по FTP, либо импортируют базу через какой то скрипт.
200 хватало, но тут уже атакуюшие плохо отбиваются.
Dimanych, Обычных клиентов подсетями в вайт лист, а так по гео или anycast у апстрима, только апстрим вас за такие матерные словечки может сам погнать. Они обычно для арендаторов дедиков не очень чешуться :)
ни через nginx то не проходят вообще, в access_log ничего не пишется
ну как так? nginx в случае простого соединения пишет запись в access_log с кодом 400.
очень частые блоки обычных клиентов, которые например закачивают файлы по FTP, либо импортируют базу через какой то скрипт.
А. Так найди жертву и выгони с хостинга. Зачем тебе невыгодный клиент? Только не надо заливать, что у тебя специализированный антиддос-хостинг.
Я бы такой ботнет отфильтровал и пхнул в tarpit.
Я бы такой ботнет отфильтровал и пхнул в tarpit.
можно только до определенного запаса мощности. tarpit нехило потребляет ресурсы относительно drop.
Не знаю, я им на ура отбивал ботнет из 20k на атоме