Нужно выходить на рынок с предложением: сервера: память ддр1 анлим, процессоры целерон анлим, диски IDE анлим, - правда материнская плата на 1 проц и 2 разьема для оперативки, и шлейф IDE один. А так все анлим 😂
права на чтение директории есть у пользователя под которым работает nginx ?
сорри не заметил названия темы... проблема не в правах, а в пробеле.
Я бы трижды подумал чтобы вообще что то хостить особенно в Праге
Я вроде написал в стартовом посте
По поводу отключения логов осмелюсь с Вами не согласится. Запись на диск хоть из буферизованная тоже нагрузка 6). Я согласен, что это не самый лучший способ увеличить производительность ;)
штуки типа сat access.log | grep " GET /80" | awk '{ print $1 }' | sort | uniq | awk {' print "iptables -I INPUT -s " $1" -j DROP" '} > ./BAN.sh
и sh BAN.sh
вполне справятся...
Но он принципиально не отличается от dos deflate ибо лишь способ получения информации об атакующих ip разный
tail -f access.log это уж совсем неинтересные никому ресурсы с никакой посещяемостью - кто их будет ддосить?
Достаточно часто логи вообще отключают, чтобы увеличить быстродействие апача.
Боюсь что посетитель с 100 коннектами к серверу скорее всего не помет считаться неповинным.
Если банить конечно сетки /24, то можно и посетителей набанить, а по айпишникам - не думаю.
По поводу замены страницы на статику не думаю - кеширование в пхп позволяет сделать пхп скрипт практически таким же статичным - при ДОС апач все равно не справится с нагрузкой.
Недавно в форуме проскакивал пост про GET /80 запросы - я думаю, что файла 80 не было на сервере - при этом сервер ложился под ддосом, а апачу всего лишь надо было 404 код ошибки ботнету отдать
Нет конечно...
Я думаю всем прекрасно понятно что с трафом более ширины полосы пропускания на стороне сервера ничего не сделать.
Также как и то, что полоса ДОСа может быть такой что и железяку фильтрующую положит.
Вопрос в другом, насколько я понимаю, эфективное расходование мощности да и сама атака ОТКАЗ ОТ ОБСЛУЖИВАНИЯ подразумевает, что затрата небольшой мощности со стороны атакующих вызывает потребление большого числа ресурсов на севрере - один http запрос на 20 байт вызывает запуск в работу сложного пхп скрипта делающего с десяток запросов к базе (это я не говорю про движек этого форума :) ), соответветсвенно нагрузка на сервер и на клиент не сопоставима...
Я говорю про достаточно интелектуальный ДОС , а не тупой поток трафа... Это не спортивно...
С таким же успехом ДДОС может положит канал ДЦ во внешний мир.
qwartyr добавил 03.06.2008 в 16:38
я спрашиваю про другие opensource решения есть
То есть метода нет ?
1.да
2. да
3. от 1.5 у.е - тариф Е1
сайт в подписи
Собираете access.log апача - сколько сможете - потом опускаете апач - парсите логи на боты - добавляете правила в фаер - большая часть ботнета будет забанена. Остальные ноды можно уже вылавливать по мере обращения по тому же access.log.
mod_limitipconn таже будет полезен
qwartyr добавил 03.06.2008 в 10:37
25 мегабитами можно неплохо нагнуть пхп скрипты на апаче и сам сервер будет в полной свопе сидеть :)
есть достаточно 🙄 хитрые скрипты выдирающие статы из netstat и банящие айпишники по определенным критериям.
Мы у себя используем такие скрипты, и вполне ими довольны...
