Индекс файлы то хоть прописаны в nginx/apache? странно у вас как то...
оччень интересно, ДЛЯ ЧЕГО 🍿
По сути скачается только то что есть на сервере, потом соединение закроет сервер, если указать размер меньше чем на севрере, то соединение закроет клиент.
Два варианта,
1. раид аппаратный,
2. второй диск не разбит
Проверить можно
dmesg|grep sd
и
dmesg|grep raid
Ок, отправлю в личку.
Чесно сказать я уже отчаялся, то банит то не банит, то пишется в лог достаточно то нет, видимо действительно что-то в системе какой то лимит, но сил уже нет разбираться (
В любом случае обработка лога только от nginx лучше, а дальше я и не продвинулся.
Да я сам пока пытаюсь анализировать.
wireshark -k -i file.cap
(wireshark:6251): Gtk-WARNING **: cannot open display:
не читает, а в самом файле видно такие запросики
GET /login/ HTTP/1.0
Host: domain.ru
Remote-Addr: 175.140.68.40
Connection: close
Запросов теперь получаю в лог действительно больше, 30тыс за 30 сек, а было 10тыс,
добавились как раз ошибки 504 когда нет ответа от апача, но этого всё ещё мало (
Попробую поиграть с этим
proxy_read_timeout 60;
proxy_send_timeout 60;
Dimanych добавил 22-06-2011 в 17:49
Проблема решена:
proxy_connect_timeout 20;
proxy_read_timeout 20;
proxy_send_timeout 20;
Эти параметры дают хороший поток логов, анализатор легко банит всех без угрозы для нормальных посетителей ;)
Всем спасибо за помощь, теперь разбираюсь намного лучше во всей этой фигне :) А то уже несколько лет встречался с этой атакой которая не отбивалась в автоматическом режиме.
Вопрос только в том, достаточно ли 20 сек для нормальных запросов?
Дело в том что при проксировании я отключаю логи nginx, и лог пишет apache. Иначе ведь получится 2 записи в лог. В этом и есть моя ошибка? У меня есть анализатор логов и в этом то вся и проблема что мне недостаточно логов, потому что апач их не пишет а ждёт из-за достижения лимита процессов :)
netwind там за несколько секунд 20мб, как мне его просматривать?
дак еслиб она была, эта нагрузка ((
а то вот за счёт уменьшения timeout она появилась, но не большая, и то что пишется в лог этого не достаточно для бана.
Всё таки nginx получая запрос сразу начинает его передавать апачу? Получается что и nginx ждёт и апач ждёт, вот только апач ждать не может из-за его ограниченности в процессах, вот и вся проблема :(
Кто-нибудь знает как решить эту проблему?
Попробую, сейчас анализирую логи
ip 2010
request 8446
checktime 30 sec
при timeout 20 получается атака такая интересная, не более 1 запроса в сек с одного Ip, вычислить сложно (
ip 2367
requests 14797
при timeout 15 уже намного лучше
