Чем и как фильтровать логи при Ddos?

Maxim-KL · 2017-03-29T20:03:51.0000000Z

Вкратце о ситуации что сложилась: Есть сайт который стабильно досят, прикрутили его на cloudflare под платный тариф за 20$. Однако дос настолько массивный что cloudflare не успевает все отфильтровать. И такое большое количество запросов попросту загружают VPS и она зависает. Решение, переключаемся на режим "I'm Under Attack!" в cloudflare. Тогда все пользователи получают капчу и тд... Но здесь загвоздка, в таком случае через капчу не могут пройти боты ПС и сайт медленно но уверено выпадает с индекса и теряет позиции. Здесь так же есть решение. Можно брать логи и попросту отфильтровывать IP с которых идет ddos и блокировать их на уровне фаервола на VPS или на самом cloudflare. Однако логов так много что вручную там попросту не разобраться, руками определить каждый IP с которого идет ddos займет массу времени. Да и еще каждый IP придется проверять через DNS что бы не забанить IP которые используют ПС. Пожалуйста подскажите, возможно есть софт который упростит фильтрацию логов? Заранее всем буду очень благодарен.

171

Joker-jar

30 марта 2017, 01:22

#11

По поводу, собственно, вопроса. Можно примерно вот такой конструкцией:

tail -n 10000 access.log | awk '{print $1}'| sort | uniq -c | sort -n -r | head -n 15 | awk '{printf("%s: %s | ",$1,$2); system("host "$2)}'

Найти самые "активные" IP. Для лога Nginx. "-n 10000" - сколько последних строк лога анализировать. "n -15" - сколько выдавать топчик IP. Я добавил в команду еще определение имени по IP для облегчения анализа.

Далее блочим неугодных:

iptables -I INPUT -s {IP} -j DROP

Метод применим, если DDOSят HTTP-запросами и не очень большими сетями. Для Nginx также рекомендую настроить limit_req_zone.

VK

0

Vitali-K

30 марта 2017, 02:55

#12

Простите, не понимаю, а зачем парсить логи?

В моём понимании надо при атаке первым делом выключить логирование и начать на уровне модулей nginx фильтровать атаку, канал у вас я так понимаю не забивается, а просто CPU загружается бекендом

Нужен ddos устойчивый хостинг! защита от ддос NGINX не пишет лог

DV

644

DenisVS

31 марта 2017, 06:11

#13

adel92:
Если VPS не ложится
То можно попробовать подобным способом

https://habrahabr.ru/post/84172/

Делал похожую штуку под IPFW. Работало, отбивало, пока не забился канал.

VDS хостинг ( http://clck.ru/0u97l ) Нет нерешаемых задач ( https://searchengines.guru/ru/forum/806725 ) | Перенос сайтов на Drupal 7 с любых CMS. ( https://searchengines.guru/ru/forum/531842/page6#comment_10504844 )

990

kxk

31 марта 2017, 09:09

#14

Maxim-KL, Можем зафильтровать вашу атаку без последствий для ПС, обращайтесь в онлайн чат на ddosov.net, работаем уже лет 8:)

Ваш DEVOPS

Все что нужно знать о DDоS-атаках грамотному менеджеру

VK приобрела 70% в структуре компании-разработчика red_mad_robot