Проблема решается посредством Iptables
СТавится Iptables, если Debian8, команда
apt-get install nftables
Cтавится fail2ban там по умолчанию защита от взлома сервера к админке
aptitude install fail2ban
Пишутся правила для Iptables
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP
iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP
echo "20000" > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo "1" > /proc/sys/net/ipv4/tcp_synack_retries
echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout
echo "5" > /proc/sys/net/ipv4/tcp_keepalive_probes
echo "15" > /proc/sys/net/ipv4/tcp_keepalive_intvl
echo "20000" > /proc/sys/net/core/netdev_max_backlog
echo "20000" > /proc/sys/net/core/somaxconn
От syn_flooda
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 500/s --limit-burst 2000 -j RETURN
iptables -A syn_flood -j DROP
Еще полезные фичи:
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
После сохраняете
iptables-save
Настройка от нагрузки файлов nginx.conf, sysctl.conf
/etc/nginx/nginx.conf
/etc/sysctl.conf
В файл sysctl.conf, в конец файла, пишите это строки, сервер после перезагружаете
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.lo.accept_source_route = 0
net.ipv4.conf.eth0.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.ip_local_port_range = 1024 65535
net.ipv4.ip_forward = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.core.rmem_max = 996777216
net.core.wmem_max = 996777216
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_mem= 786432 1048576 996777216
net.ipv4.tcp_wmem = 4096 87380 4194304
net.ipv4.tcp_max_orphans = 2255360
net.core.netdev_max_backlog = 10000
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_keepalive_intvl = 15
net.ipv4.tcp_max_syn_backlog = 4046
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_keepalive_time=60
net.ipv4.tcp_keepalive_intvl=10
net.ipv4.tcp_keepalive_probes=5
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 494967295
kernel.shmall = 268435456
net.core.somaxconn= 16096
Находите в файле nginx.conf строчки, и меняете на:
worker_rlimit_nofile 100000;
worker_connections 65000;
gzip_comp_level 7;
gzip_buffers 8 64k;
# File cache settings
open_file_cache max=10000 inactive=30s;
open_file_cache_valid 60s;
open_file_cache_min_uses 2;
open_file_cache_errors off;
http {
# Main settings
sendfile on;
tcp_nopush on;
tcp_nodelay on;
client_header_timeout 10;
client_body_timeout 10;
client_header_buffer_size 1k;
client_body_buffer_size 1k;
client_max_body_size 10k;
large_client_header_buffers 2 1k;
send_timeout 10;
keepalive_timeout 5 5;
reset_timedout_connection on;
server_tokens off;
server_name_in_redirect off;
server_names_hash_max_size 512;
server_names_hash_bucket_size 512;
limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:5m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:5m rate=5r/s;
server {
limit_conn conn_limit_per_ip 5;
limit_req zone=req_limit_per_ip burst=5 nodelay;
}
Так DOS флуд GET запросов c разных ip, прокси останавливается, трафик в 3-5мб/cек падает, проц не грузится на 100%, сервер, сайт не упадет.
PS. Вдруг кто столкнется с похожей проблемой и не сможете решить сами, пишите в лс в телегу @KrolikQ
Привет, да кидал эти прокси в файлик .htaccess, там такой список этих ип адресов, откуда идут запросы + они иногда меняются
А так я настроил файлы sysctl.conf и nginx.conf на большую выдержку при Dos, сейчас норм сервер не ложится, я теперь решаю проблему на уровне iptables, некоторые ньюансы еще не понял, в процессе) но основной трафик dosa я отбил именно через iptables
А где два я не понимаю в какие секции правильно вставить данный код
СДелай по братски)---------- Добавлено 25.12.2019 в 07:41 ----------Удались в канаву---------- Добавлено 25.12.2019 в 07:42 ----------Anonymous1111, ↑↑↑↑
А как сделать лушче, там уже не рефер запросы, а просто get запросы по ipу идут, может поможешь настроить файл конфига правильно? Пожалуйста)---------- Добавлено 24.12.2019 в 20:46 ----------Не пи*ди, там 3мб+ уже был флуд по http))) мусорных get запросов))) каждую секунду по 5-10 запросов с одного ip таких по 10,20 запросов) Не все умы тут с форума)) моего ума мало понять даже как код правильно вставить в nginx.konf файл))))---------- Добавлено 24.12.2019 в 20:51 ----------
После того как я настроил файлы от dosa sysctl.conf и nginx.conf, то уже серв не ложился при dose 3мб, а когда не настраивал эти файлы, то dos флуд по http ложил сервер 2 ядра 4гб озу, 30гб диск, а точнее какие настройки, вот такие:
sysctl.conf:
net.ipv4.tcp_max_syn_backlog = 2048
nginx.conf:
# Server globals
user www-data;
worker_processes auto;
timer_resolution 50ms; #In order to free some CPU cycles
error_log /var/log/nginx/error.log crit;
pid /var/run/nginx.pid;
# Worker config
events {
worker_connections 60000;
use epoll;
multi_accept on;
client_max_body_size 1m;
# Log format
log_format main '$remote_addr - $remote_user [$time_local] $request '
'"$status" $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
log_format bytes '$body_bytes_sent';
#access_log /var/log/nginx/access.log main;
access_log off;
# Mime settings
include /etc/nginx/mime.types;
default_type application/octet-stream;
# Compression
gzip on;
gzip_vary on;
gzip_min_length 512;
gzip_types text/plain text/css text/javascript text/js text/xml application/json application/javascript application/x-javascript application/xml application/xml+rss application/x-font-ttf image/svg+xml font/opentype;
gzip_proxied any;
gzip_disable "MSIE [1-6]\.";
# Proxy settings
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass_header Set-Cookie;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffers 32 4k;
# SSL PCI Compliance
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
# Error pages
error_page 403 /error/403.html;
error_page 404 /error/404.html;
error_page 502 503 504 /error/50x.html;
# Cache settings
proxy_cache_path /var/cache/nginx levels=2 keys_zone=cache:10m inactive=60m max_size=1024m;
proxy_cache_key "$host$request_uri $cookie_user";
proxy_temp_path /var/cache/nginx/temp;
proxy_ignore_headers Expires Cache-Control;
proxy_cache_use_stale error timeout invalid_header http_502;
proxy_cache_valid any 1d;
# Cache bypass
map $http_cookie $no_cache {
default 0;
~SESS 1;
~wordpress_logged_in 1;
# Wildcard include
include /etc/nginx/conf.d/*.conf;
Ограничение подключений с одного ip---------- Добавлено 24.12.2019 в 12:41 ----------baas, Может поможешь один раз нормально настроить нгинс файл от http флуда, я заплачу 1к рублей, я просто все тонкости не понимаю
Как правильно вставить код?
limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=5r/s;
limit_conn conn_limit_per_ip 10;
limit_req zone=req_limit_per_ip burst=10 nodelay;
У меня сейчас стоит так в nginx.conf cкрин: https://hostingkartinok.com/show-image.php?id=7eb2180a3266d09f59c72e6d4b986fd7
В каком раздлеле блокировать по реферам? НС привязал сразу
Я там зарегался, А как там блокировать?---------- Добавлено 22.12.2019 в 14:15 ----------А откуда мне знать как правильн описать в файл конфига этот код, я не профи тебе, мог бы подсказать, трудно ,что ли?---------- Добавлено 22.12.2019 в 14:15 ----------А какое решение, если я не знаю какой код вставить правилльно куда
Понял, а вставлять как? ТАк как на скрине? Скажите пж
Скрин
https://hostingkartinok.com/show-image.php?id=149cc7822290a111d83ae91b571eef66
Или как правильно коды туда писать вообще, можете на моем примере показать?
Вписать туда
# Вообще разрываем соединения с теми кто лезет по HTTP/1.0, если он не поисковик. По своим логам делаю вывод что по HTTP/1.0 опрашивает роботс тролько майл ру. Все остальное плохие боты.
map "$whitelist:$server_protocol" $bad_bot {
"0:HTTP/1.0" 1;
# Даем Зеленый свет поисковикам и тормозим остальных, обращающихся по протоколу HTTP/1.1
map "$whitelist:$server_protocol" $limit1 {
"1:HTTP/1.0" "";
"1:HTTP/1.1" "";
"1:HTTP/2.0" "";
"0:HTTP/1.1" "$binary_remote_addr";
limit_req_zone $limit1 zone=bot11:10m rate=7r/m;---------- Добавлено 22.12.2019 в 09:08 ----------Я вставил это в секцию сервера include /etc/nginx/conf.d/*.conf;
У меня по этому пути /etc/nginx/conf.d/*.conf; там файл мойип....conf
И там в скцию локатион я вставил этот код
И чет так же идут мусорные запросы через HTTP/1.0
