theBlackWolf

Рейтинг
8
Регистрация
19.12.2012
как грамотно защитить nginx от ddos

Написал скрипт, который при повышении нагрузки на ЦП активирует тесткуки.

Срабатывает отлично, но вот проблема в автоматическом отключении тесткуков.

При активных тесткуках нагрузка на сервер немного выше чем обычная, соответственно определить окончание ддос по нагрузке на ЦП не получится.

Как быть? Как определить что ддос закончилась?

как грамотно защитить nginx от ddos

CenrOS 6 x64 Intel(R) Pentium(R) CPU G850 @ 2.90GHz 2128.000 Mhz X 2 4GB ram

sysctl после изменений выглядит так

kernel.core_uses_pid = 1
kernel.msgmax = 65536
kernel.msgmnb = 65536
kernel.shmall = 4294967296
kernel.shmmax = 68719476736
kernel.sysrq = 0
net.core.netdev_max_backlog = 10000
net.core.somaxconn = 128000
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.ip_dynaddr = 0
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 1
net.ipv4.tcp_keepalive_time = 10
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 393216
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1

что я забыл еще настроить?

как грамотно защитить nginx от ddos

CenrOS 6 x64 Intel(R) Pentium(R) CPU G850 @ 2.90GHz 2128.000 Mhz X 2 4GB ram

составил sysctl так

#
# Kernel sysctl configuration file for Red Hat Linux
kernel.core_uses_pid = 1
kernel.msgmax = 65536
kernel.msgmnb = 65536
kernel.shmall = 4294967296
kernel.shmmax = 68719476736
kernel.sysrq = 0 [поправлено]
net.bridge.bridge-nf-call-arptables = 0 [удалил спс Den73]
net.bridge.bridge-nf-call-ip6tables = 0 [удалил спс Den73]
net.bridge.bridge-nf-call-iptables = 0 [удалил спс Den73]
net.core.netdev_max_backlog = 10000 [под вопросом стоил ли увеличивать или уменьшать, дефолт=1000]
net.core.somaxconn = 128000
net.ipv4.icmp_ratelimit = 60 [удалено]
net.ipv4.conf.all.send_redirects = 0 [удалено]
net.ipv4.conf.default.accept_source_route = 0 [дефолт]
net.ipv4.conf.default.rp_filter = 1 [дефолт]
net.ipv4.conf.default.send_redirects = 1 [удалено]
net.ipv4.ip_dynaddr = 0 [дефолт]
net.ipv4.ip_forward = 1 [удалено]
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_keepalive_intvl = 10
net.ipv4.tcp_keepalive_probes = 1
net.ipv4.tcp_keepalive_time = 10
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 393216
net.ipv4.tcp_sack = 0 [удалено]
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_window_scaling = 1 [поправил спс Den73]

подскажите что я пропустил или где накосячил?

как грамотно защитить nginx от ddos

насчет ограничения потребления ресурсов, это я сделал и теперь сервер во время атаки не падает и с ним можно прекрасно работать. пока что тестирую схему с включением во время атаки модуля тест куки. На данный момент наткнулся на проблему:

Бот частично умеет интерпритировать яву, поэтому ддос бот успешно обходит скрипты

<html><body><script>function bla() { document.cookie="BPC=$testcookie_set";document.location.href="$testcookie_nexturl";}</script><input type="submit" value="click me" onclick="bla();"></body></html>

более сложные скрипты приведенные на хабре и скрипт приведенный в документации самого модуля почему то не работают (возможно я криворукий).

скрипт

<html><body>setting cookie...<script type=\"text/javascript\" src=\"/aes.min.js\" ></script><script>function toNumbers(d){var e=[];d.replace(/(..)/g,function(d){e.push(parseInt(d,16))});return e}function toHex(){for(var d=[],d=1==arguments.length&&arguments[0].constructor==Array?arguments[0]:arguments,e="",f=0;f<d.length;f++)e+=(16>d[f]?"0":"")+d[f].toString(16);return e.toLowerCase()}var a=toNumbers("$testcookie_enc_key"),b=toNumbers("$testcookie_enc_iv"),c=toNumbers("$testcookie_enc_set");document.cookie="BPC="+toHex(slowAES.decrypt(c,2,a,b))+"; expires=Thu, 31-Dec-37 23:55:55 GMT; path=/";document.location.href="$testcookie_nexturl";</script></body></html>

почему то не устанавливает куки, хотя настроен по официальной документации.

как грамотно защитить nginx от ddos

apache, mysql я естественно настраивал чисто для оптимизации.

в приведенном с хабра примере яваскрипт не статичен и в любом случае я сомневаюсь что повстречаю такого бота (если встечу тогда уже и задумаюсь что с ним делать).

Совета по обнаружению ботов на nginx я от вас Evas не видел, вы советали nginx просто настроить грамотно, что мне кажется не достаточным

как грамотно защитить nginx от ddos
Den73:

Нормальные способы вам тут не кто не раскроет так что топик не о чем, поищите уже были такие.

Советы дельные дали, за что спасибо, схема вырисовалась, так что отбивать небольшие атаки без авторских способов думаю попыхтев смогу реализовать. А крупные атаки думаю на меня сыпаться не будут, да отбивать их на уровне сервера все равно не получится, так как канал забьют и все дела.

спасибо zexis который лаконично сказал суть без разглагольствований. Защиту у zexis приобрету когда куплю сервер с 1gbit Unmetered

как грамотно защитить nginx от ddos
Evas:
Упустили, перечитайте пожалуйста моё сообщение.

apache, mysql - зачем их настраивать, если бот не пройдет дальше nginx?

Evas:
Аналогично, лично столкнулся с подобным, боты понимали и возвращали

Покажите мне бота, который выполнит приведенный мной выше яваскрипт с хабра.

Den73:
а я не сомневаюсь что браузер это не выполнит, вы понимаете что ддосят браузерным движком который работает в фоне

если так ддосят, то необходим огромный ботнет ибо профит с 1 бота мизерный (так как насколько я знаю существуют только 2 открытых движка браузера это Геко и Эксплорер оба древние как мир). Не встречал таких ботов, мб скинете ссылку где был обнаружен такой бот?

zexis:
Что вы понимете под "ддос не по хттп" ?

icm, udp syn

Den73:
уж такую простую задачу не решить :( .... а собрались от ддос защищаться :).

решу, просто продумываю как все сделать правильнее

как грамотно защитить nginx от ddos

спасибо, понял что защиту куками без атаки не стоит включать. По поводу ява куков я сомневаюсь что приведенный код с хабра боты смогут выполнить


<html><body>setting cookie...<script type=\"text/javascript\" src=\"/aes.min.js\" ></script><script>function toNumbers(d){var e=[];d.replace(/(..)/g,function(d){e.push(parseInt(d,16))});return e}function toHex(){for(var d=[],d=1==arguments.length&&arguments[0].constructor==Array?arguments[0]:arguments,e="",f=0;f<d.length;f++)e+=(16>d[f]?"0":"")+d[f].toString(16);return e.toLowerCase()}var a=toNumbers({используем любимый JS обфускатор чтобы спрятать значение iv, меняем по крону}),b=toNumbers({используем любимый JS обфускатор чтобы спрятать значение ключа, меняем по крону}),c=toNumbers("$testcookie_enc_set");document.cookie="BPC="+toHex(slowAES.decrypt(c,2,a,b))+"; expires=Thu, 31-Dec-37 23:55:55 GMT; path=/";document.location.href="$testcookie_nexturl";</script></body></html>

белый список модуль поддерживает, так что принципе можно избежать бана поисковых ботов, но встает вопрос о включении его во время атаки, полагаю тут нужен скрипт, который определит атаку, заменит конфиг нгикса и перезагрузит его.

Таким образом для меня выстраивается такая схема защиты

настраиваю ядро ос

limit_req_zone, limit_zone прописываю для nginx

пишу скрипт для iptables который будет банить самых агрессивных (на данный момент стоит скрипт ddos deflate) + скрипт который будет обнаруживать начало атаки изменять конфиг nginx для включения явакуков

с ддосом не по хттп борюсь настройкой ядра ос и iptables

и принципе если атака оч сильная то больше ничего я на уровне сервера сделать не смогу.

я все верно понял? ничего не пропустил?

fwrite() fclose() ошибки php 5.3.3

спасибо, плагин заменил, все заработало.

загадочные правила htaccess

нет не опасны для сео, это правила из разряда "защищаем сайт от скулей".

1 23
Всего: 30