речь шла именно о той ситуации, когда доходит. атака, ориентированая на конкретное приложение.
инструмент каждый с умом нужно использовать. -m string под DDOS
атакой - совершенно идиотское решение. баньте с ipset ботов (детектируемых
nginx+скриптами), как дополнительную меру - hashlimit/connlimit/limit - и будет вам сщастье.
HP ProLiant DL от DL120G5, а лучше брать что-то
с hot-swap типа DL160G6. цены по порядку величины:
http://www.stss.ru/products/proliant_DL.html
огласите "разумные пределы", пожалуйста.
удалённый фрилансер-админ вполне может обеспечить и
круглосуточную поддержку, обращайтесь.
нет, не показали. попробую объяснить еще раз.
забанить на iptables по конкретной сигнатуре атаки (строка) - совершенно другое,
нежели понимание файерволом прикладного протокола. посмотрите код любого веб-сервера,
как он парсит HTTP-запросы (конкретно, Request-Line). там на порядок
больше работы чем сравнение со строкой "GET / HTTP/1.0" :D
так понятно?
madoff, ищите дальше. начиная с того, что URL может быть
не обязательно "/".
это очень частный случай борьбы с конкретной
сигнатурой в атаке. довольно глупый в итоге, кстати.
да, там есть опция "--enable-maintainer-zts". кому лень
посмотреть в багтрекер PHP - собирают с ней.
причем баги есть совсем древние:
http://bugs.php.net/bug.php?id=16820
там тред на клиента (вместо процесса). памяти заметно меньше уходит.
можно посмотреть примеры модулей, использующие готовое там апи для
управления соединениями с базой. authn_dbd_module, например.
c prefork - однозначно нельзя, уйдет уйма ресурсов на каждый процесс.
mpm worker в этом отношении получше - но mod_php не thread-safe, потому нельзя его
пихать вместе с тредовыми mpm.
о чем и речь :) ну чем здесь апач хуже? написать для него простенький модуль, зависящий
от mod_dbd. prefork здесь не нужен - лучше worker. нагрузка не та, чтобы серьезно заморачиваться
с асинхронщиной.
Борис, выше выяснили - что крайне немного: split + mysql insert
KeepAlive - ваш друг. не нужно его отключать, если не знаете зачем.
если KeepAlive "мешает" - используйте другой mpm в апаче (event) - или
поставьте прокси перед апачем.
с такими безумными цифрами - сервер в пике ворочаться просто не будет.
помимо того, что одни апачи отожрут больше 10Gb
не копируйте бездумно глупые инструкции, тем более, что они
для 1.x-ветки апача.
