- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем привет.
Столкнулся сегодня со странной ситуацией:
с одного IP начались множественные запросы к сайту, при этом apache слег т.к., насколько я понял, ответы никто не читал - в /server-status все слоты были забиты запросом от этого IP и все они висели в состоянии "W" Sending Reply.
Просмотрел лог по этому IP, я даже не уверен, что это было злонамеренно - обычное поведение человека, походил по страницами, добавил товары к сравнению. Но вот потом, ни с того ни с сего начал генерировать много (ну штук 20 в секунду грубо) запросов с одним и тем же УРЛом.
Я понимаю, что это похоже на банальный ДоС, но есть странности:
1. В логе второй же запрос уже со статусом 500
2. Если я делаю то же самое средствами тестирования производительности, то такое количество запросов сервер без проблем переваривает
Как я понимаю проблема в том, что клиент перестал отвечать, а апач ждет ответа, а поскольку запросов много, то забивает все слоты.
top в это время показывает обычную загрузку ЦП (0.3 или что-то около этого).
Используется apache + mod_fcgid
Теперь вопросы:
1. верны ли мои предположения?
2. что посоветуете подкрутить в настройках апача?
Спасибо.
Такое часто повторяется или это единичный случай?
С сайтом проблем точно нет?
а здесь совет как бороться
https://www.trustwave.com/Resources/SpiderLabs-Blog/ModSecurity-Advanced-Topic-of-the-Week--Mitigation-of--Slow-Read--Denial-of-Service-Attack/
2. что посоветуете подкрутить в настройках апача?
Try to set KeepAlive off first. If it helps, turn it back to "on" and tune the KeepAliveTimeout/MaxKeepAliveRequests parameters.
Читайте про Slowloris attack и как с ним бороться.