К антиддос-сервисам можно переложить это на сервер ВК - Администрирование серверов

Первый VPS, первый DDoS

Netman_avs · 2013-05-06T13:49:38.0000000Z

Всем привет! Преамбула такова. Делал себе и клиентам спокойно сайты, размещал на хостинге. Проблем особо не имел. Пару месяцев назад пришла идея сделать свой городской сайт с объявками и рекламой. Сделал, запустил на хостинге и начал немного пиарить по местынм сайтам и соц.сетях. Через несколько дней сайт заддосили так что хостер его отключил. Так продолжалось несколько раз (ддосили обычно дня по 3), пока не "предложили" перейти на VPS. Мол там бороться легче, ресурсов и возможностей больше. Правда не предупределили что теперь администрация сервера полностью моя проблема. -)) Вобщем переехал на VPS (1х2,6Ghz, RAM 512 Мб, 20 Гб HDD, 100 Мбит/с сеть). Стоит SentOS 6, Apache 2, ISPmanager. Сайт региональный, максимальное число посетителей до 1000 в день (это очень круто!), а обычно в пределах 200-300 чел. Поэтому думаю ресурсов должно хватать, даже с запасом. Несколько дней все летало пока опять не начался ддос. Сервер в итоге ушел в полный аут. Хостер открстился, что по их правилам они администрировать не могут, разбирайтесь сами. Вот тут и начался полный капец. Я полный чайник в этом и понятия не имел куда двигаться и что делать. Знакомых админов нет, денег на их содержание тоже пока нет. Так что приходиться учиться и самому разбираться. На сегодняшний день пока смог немножко изменить настройки сервера. Делал на основе советов с инета. Насколько они правильны затрудняюсь ответить. # TimeOut: The number of seconds before receives and sends time out. TimeOut**60 # KeepAlive: Whether or not to allow persistent connections (more than # one request per connection). Set to "Off" to deactivate. KeepAlive**On # MaxKeepAliveRequests: The maximum number of requests to allow # during a persistent connection. Set to 0 to allow an unlimited amount. # We recommend you leave this number high, for maximum performance. MaxKeepAliveRequests**50 # KeepAliveTimeout: Number of seconds to wait for the next request from the # same client on the same connection. KeepAliveTimeout**15 ## Server-Pool Size Regulation (MPM specific) # prefork MPM # StartServers: number of server processes to start # MinSpareServers: minimum number of server processes which are kept spare # MaxSpareServers: maximum number of server processes which are kept spare # ServerLimit: maximum value for MaxClients for the lifetime of the server # MaxClients: maximum number of server processes allowed to start # MaxRequestsPerChild: maximum number of requests a server process serves <IfModule prefork.c> *StartServers 5 *MinSpareServers 5 *MaxSpareServers 10 *ServerLimit 50 *MaxClients 50 *MaxRequestsPerChild** 3000 </IfModule> Это дало небольшие результаты, ну хоть по ssh можно зайти на сервер и иногда в ispmanager. Далее пока моих знаний хватило установить (D)DoS Deflate с запуском по крону. Вот сейчас опять похоже ддосят, но он похоже не справляется. Не совсем понял лог запросов. Вот пример из последнего. Я правильно понимаю, что это с яндекса ,гугла и контакта шуруют запросы? Но не в таком же количестве. Анализатор логово показал 2536 запросов с гугла. И запросы идут уже вторые сутки не прекращаясь! 192.210.148.89 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (iPad; U; CPU OS 4_3 like Mac OS X; en-us) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8F190 Safari/6533.18.5" 190.0.6.158 - - [06/May/2013:00:00:55 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (compatible; Konqueror/4.5; Windows) KHTML/4.5.4 (like Gecko)" 116.228.55.184 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30151 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 91.203.89.142 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://vk.com/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.2; WOW64; Trident/5.0)" 89.218.0.34 - - [06/May/2013:00:00:57 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 114.80.136.171 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:5.0) Gecko/20100101 Firefox/5.0" 178.253.253.82 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 89.218.101.138 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 89.218.0.69 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30239 "http://google.com/" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 190.25.232.102 - - [06/May/2013:00:00:58 +0300] "GET /?False HTTP/1.1" 200 30151 "http://google.com/" "Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0" 189.4.97.89 - - [06/May/2013:00:00:56 +0300] "GET /?False HTTP/1.1" 200 30151 "http://yandex.ru/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 212.119.105.65 - - [06/May/2013:00:00:59 +0300] "GET /?False HTTP/1.0" 200 30239 "http://yandex.ru/" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" 89.144.190.9 - - [06/May/2013:00:01:00 +0300] "GET /?False HTTP/1.1" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 95.159.105.2 - - [06/May/2013:00:01:00 +0300] "GET /?False HTTP/1.0" 200 30239 "http://yandex.ru/" "Mozilla/5.0 (Windows; U; Windows XP) Gecko MultiZilla/1.6.1.0a" 116.228.55.217 - - [06/May/2013:00:00:59 +0300] "GET /?False HTTP/1.1" 200 30239 "http://vk.com/" "Mozilla/4.0 (Windows NT 6.1; Win64; x64; rv:4.0a1) Gecko/20110621 Firefox/7.0a1" 89.218.0.162 - - [06/May/2013:00:01:08 +0300] "GET http://vnikopole.net/?False HTTP/1.1" 404 1942 "http://vk.com/" "Mozilla/4.8 [en] (Windows NT 5.1; U)" Вопросов много, главный что сделать, чтобы сайт заработал и как избавиться от таких атак?

R

77

r0mik

7 мая 2013, 05:00

#41

ставим nginx

настраиваем толково limit_req....

это сильно снизит нагрузку на бекэнд...

то что XEN, это очень хорошо - нет ограничений на кол-во правил iptables,

пишем простенький анализатор логов nginx, который будет анализировать отлупы по limit_req и блокировать АйПи в iptables. скрипт хоть и простенький, но нужно будет продумать некоторые моменты, а не писать бездумно. например нужно айпи разбанивать через некоторое время (сутки-двое), а то в конечном итоге сдохнет и ipset-a, да и банить нужно не бездумно, то есть не тупо по превышению лимита, а то можно и своих забанить...

все это реализуется толковым админом за час-два работы и будет работать, в случае если это только простой http-флуд и если хватит канала...

512мб впс падает mysql Белый список IP для Что делать если ддосят?

505

6666

7 мая 2013, 05:59

#42

tls:
RewriteEngine On
RewriteCond %{REQUEST_URI} =/
RewriteCond %{QUERY_STRING} =False
RewriteRule ^ - [R=404,L]

А так не лучше будет:

RewriteCond %{REQUEST_URI} =/

RewriteCond %{QUERY_STRING} =false

RewriteRule .* http://www.vk.com%{REQUEST_URI} [R=301,L]

Задача же снизить максимально нагрузку. А в первом варианте сервер еще и будет искать 404 и отдавать по HTTP. А так - сразу давайдосвидания. Нет?

Каждое мое сообщение проверила и одобрила Елена Летучая. (c) Для меня очень важно все что Вы говорите! (http://surrealism.ru/123.mp3) .

И опять про 301 Наилучший вариант обработки 404 Как запретить индексацию страниц

990

kxk

7 мая 2013, 06:14

#43

6666, Если стоит задача снизить нагрузку то :

RewriteCond %{REQUEST_URI} =/

RewriteCond %{QUERY_STRING} =false

RewriteRule .* 404.html%{REQUEST_URI} [R=301,L]

Только предварительно его создайте

C уважением, Владимир

Ваш DEVOPS

505

6666

7 мая 2013, 06:38

#44

kxk, не очень понимаю логику. Зачем нужно 1000 раз в час отдавать ддосящим ботам 404.html

Это же и траффик (пусть небольшой) и серверу надо ее найти и отдать?

990

kxk

7 мая 2013, 06:42

#45

6666, Вы можете удалить файл и сервер будет отдавать 404 not found без страницы. Закрывать соединение через код например 444 умеет только Nginx и его аналоги, про такой возможности для Апача лично я не слышал (хотя мог, не до конца изучить документацию Апача).

Спрашиваем и отвечаем по Редирект 301 Код ответа сервера

364

pupseg

7 мая 2013, 08:28

#46

Коллеги, ддос не сильный.

[root@vps-5711 ~]# ipset list | wc -l

889

[root@vps-5711 ~]#

впс - очень слаба. хз.. что будет если усилится. 512 мбайт памяти .

nginx'а не было. ОС по дефолту. в ней не ковырялись.

всунул ipset , всунул примитивную, на коленке - парсилку логов nginx'а.

без рублей разбираться детально не охота уже))) но сайтец вроде работает...

а так ... ,ТС, если чуть там чего посильнее.. то уже к антиддос-сервисам.

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).

Мощный сервер спокойно падает ddos,dos для теста нужен На тему брутфорса

505

6666

7 мая 2013, 08:36

#47

kxk, по-прежнему не понимаю зачем нужно заставлять сервер делать вообще что-либо для каждого ДДОС бота, если можно переложить это на сервер ВК. Ну, разумеется, не ВК, а лучше несуществующий урл.

523

Den73

7 мая 2013, 08:55

#48

pupseg

он же клоудфаре пошел подключать или передумал?

---------- Добавлено 07.05.2013 в 12:56 ----------

6666:
kxk, по-прежнему не понимаю зачем нужно заставлять сервер делать вообще что-либо для каждого ДДОС бота, если можно переложить это на сервер ВК. Ну, разумеется, не ВК, а лучше несуществующий урл.

а как можно переложить?

364

pupseg

7 мая 2013, 08:58

#49

Den73, подключил, но там чего то не срослось с ssl у него на сайте и клаудфларя баблбос попросила... :) я так понимаю платный аккаунт покупать ему накладно

505

6666

7 мая 2013, 09:23

#50

Den73:
а как можно переложить?

Если речь про ДДОС как у ТС, то так

RewriteCond %{REQUEST_URI} =/

RewriteCond %{QUERY_STRING} =false

RewriteRule .* http://www.vk.com%{REQUEST_URI} [R=301,L]

Почему нет?

Дзен реализовал для авторов возможность вывода денег через СПБ

Что такое Power BI и зачем это нужно бизнесу

Первый VPS, первый DDoS