ТС помог с настройкой лимитов nginx, советую.
Мне нужно добиться такого результата, чтобы отбивать ддос хотя бы 10к ботов...
Покажите мне примеры полноценной защиты. Единственное, что я нашел, это скрипт, который парсит айпишники из логов nginx, которые получили ошибки 444, 505 и другие. Но при тестировании ни один айпишник не получил блок.
Извиняюсь, вот:
189.208.57.239 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 499 0 "-" "-" site.domain66.230.191.159 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 499 0 "-" "-" site.domain61.134.62.118 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 444 0 "-" "-" site.domain168.226.35.19 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 444 0 "-" "-" site.domain61.153.98.6 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 444 0 "-" "-" site.domain182.253.211.190 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 444 0 "-" "-" site.domain182.253.211.190 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 444 0 "-" "-" site.domain103.247.219.167 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 444 0 "-" "-" site.domain54.199.29.246 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 200 61850 "-" "-" site.domain183.63.131.18 - - [07/Feb/2014:14:15:55 +0400] "GET / HTTP/1.1" 444 0 "-" "-" site.domain
Я же говорю, что я проверяю уже другой штукенцией) У нее запросы другие (дал вырезку из лога access.log)
Я поставил блок запросов, содержащие GET //?True, через iptables.
Теперь есть другая проблема, проверял защиту через еще один софт, ошибок 8000 (т.е. 444 и 499) и 200 коннектов. Сайт все равно падает, один человек вот, что пишет:
Что там насчет скрипта? Есть примеры или кинете готовый вариант?
Пошел проверять!
А нормально ссылку на скрипт нельзя скинуть? Или троллить только умеете?
При чем тут движок? У меня стоит официальная предпоследняя версия.
Если nginx выдает ошибку 504, то это сразу из-за движка? 😮 😂---------- Добавлено 06.02.2014 в 17:16 ----------Глянул логи, в момент ддоса сыпались такие ошибки:
190.37.**.** - - [06/Feb/2014:00:00:34 +0400] "GET //?True HTTP/1.0" 403 162 "-" "Mozilla/5.0 (Windows NT 6.2; rv:24.0) Gecko/20100101 Firefox/24.0" "-" 190.72.**.** - - [06/Feb/2014:00:00:34 +0400] "GET //?True HTTP/1.0" 403 162 "-" "Mozilla/5.0 (Windows NT 6.2; rv:24.0) Gecko/20100101 Firefox/24.0" "-" 201.209.**.** - - [06/Feb/2014:00:00:34 +0400] "GET //?True HTTP/1.0" 403 162 "-" "Mozilla/5.0 (Windows NT 6.2; rv:24.0) Gecko/20100101 Firefox/24.0" "-" 190.37.**.** - - [06/Feb/2014:00:00:34 +0400] "GET //?True HTTP/1.0" 403 162 "-" "Mozilla/5.0 (Windows NT 6.2; rv:24.0) Gecko/20100101 Firefox/24.0" "-" 200.90.**.** - - [06/Feb/2014:00:00:34 +0400] "GET //?True HTTP/1.0" 403 162 "-" "Mozilla/5.0 (Windows NT 6.2; rv:24.0) Gecko/20100101 Firefox/24.0" "-"
Предполагаю, что это обычный HTTP флуд, скрипт есть какой-нибудь от этой дряни?
Поставил geoip к nginx, коннектов стало меньше, но все равно nginx не выруливает. В коннектах висят айпишники (по одному соединению), которые получают ошибку 403. Нельзя ли как-нибудь их через iptables откинуть? Т.е. у кого 2-3 ошибки 403, того в бан лист.