Конкуренты блокируют мой сервер

[NightHunter]

Я вот так прописал, правильно?

Спойлер: nginx.conf

# Server globals
user nginx;
worker_processes 2;
error_log /var/log/nginx/error.log;
pid /var/run/nginx.pid;

worker_rlimit_nofile 4096;

# Worker config
events {
worker_connections 2048;
multi_accept on;
use epoll;
}


http {
# Main settings
limit_req_zone $binary_remote_addr zone=dyn:10m rate=10r/s;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
client_header_timeout 15;
client_body_timeout 15;
client_header_buffer_size 2M;
client_body_buffer_size 512K;
client_max_body_size 4m;
large_client_header_buffers 4 8k;
send_timeout 5;
keepalive_timeout 20;
keepalive_requests 1000;
limit_rate_after 30M;
limit_rate 1m;

resolver_timeout 5s;

open_file_cache max=16384 inactive=20s;
open_file_cache_min_uses 2;
open_file_cache_valid 30s;
open_file_cache_errors on;
reset_timedout_connection on;
server_tokens on;
server_name_in_redirect off;
server_names_hash_max_size 512;
server_names_hash_bucket_size 512;
fastcgi_param REDIRECT_STATUS 200;
fastcgi_buffer_size 4K;
fastcgi_buffers 64 4k;



# Log format
log_format main '$remote_addr - $remote_user [$time_local] $request '
'"$status" $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
log_format bytes '$body_bytes_sent';
#access_log /var/log/nginx/access.log main;
access_log off;


# Mime settings
include /etc/nginx/mime.types;
default_type application/octet-stream;


# Compression
gzip off;
gzip_comp_level 3;
gzip_min_length 1024;
gzip_buffers 8 64k;
gzip_types text/plain text/css text/javascript
application/x-javascript application/javascript;
gzip_proxied any;


# Proxy settings
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass_header Set-Cookie;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffers 32 4k;


# SSL PCI Compliance
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256HE-RSA-AES256-GCM-SHA384HE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHAHE-RSA-AES256-SHA256HE-RSA-AES128-SHA256HE-RSA-AES256-SHAHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHAES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";


# Error pages
error_page 403 /error/403.html;
error_page 404 /error/404.html;
error_page 502 503 504 /error/50x.html;


# Cache
proxy_cache_path /var/cache/nginx levels=2 keys_zone=cache:30m inactive=30m max_size=1G;
proxy_temp_path /var/cache/nginx/temp;
proxy_cache_key "$host$request_uri $cookie_user";
proxy_ignore_headers Expires Cache-Control;
proxy_cache_use_stale error timeout invalid_header http_502;
proxy_cache_valid any 3d;

map $http_cookie $no_cache {
default 0;
~SESS 1;
~wordpress_logged_in 1;
}
# Wildcard include
include /etc/nginx/conf.d/*.conf;
}

Да, если не поможет, то можно будет на время уменьшить значение worker_connections 2048;

 

[irip]

я нажимаю на F5 с разных компьютеров - вроде сервер не подвисает

iptables -I INPUT -s  46.172.222.72 -j DROP

а как его обратно разблокировать, чтобы проверить? ))

 

[mustang325]

Я бы посоветовал вот Для просмотра ссылки Войди или Зарегистрируйсяглянуть, годная и разумная защита. Ибо ДДоС мощный денег стоит и долго его держать тоже не будут. А с плюшевыми можно отмахаться и через iptables или какой нибудь микротик
Для просмотра ссылки Войди или Зарегистрируйся

 

[dollar1981]

Я вот так прописал, правильно?

Спойлер: nginx.conf

# Server globals
user nginx;
worker_processes 2;
error_log /var/log/nginx/error.log;
pid /var/run/nginx.pid;

worker_rlimit_nofile 4096;

# Worker config
events {
worker_connections 2048;
multi_accept on;
use epoll;
}


http {
# Main settings
limit_req_zone $binary_remote_addr zone=dyn:10m rate=10r/s;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
client_header_timeout 15;
client_body_timeout 15;
client_header_buffer_size 2M;
client_body_buffer_size 512K;
client_max_body_size 4m;
large_client_header_buffers 4 8k;
send_timeout 5;
keepalive_timeout 20;
keepalive_requests 1000;
limit_rate_after 30M;
limit_rate 1m;

resolver_timeout 5s;

open_file_cache max=16384 inactive=20s;
open_file_cache_min_uses 2;
open_file_cache_valid 30s;
open_file_cache_errors on;
reset_timedout_connection on;
server_tokens on;
server_name_in_redirect off;
server_names_hash_max_size 512;
server_names_hash_bucket_size 512;
fastcgi_param REDIRECT_STATUS 200;
fastcgi_buffer_size 4K;
fastcgi_buffers 64 4k;



# Log format
log_format main '$remote_addr - $remote_user [$time_local] $request '
'"$status" $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
log_format bytes '$body_bytes_sent';
#access_log /var/log/nginx/access.log main;
access_log off;


# Mime settings
include /etc/nginx/mime.types;
default_type application/octet-stream;


# Compression
gzip off;
gzip_comp_level 3;
gzip_min_length 1024;
gzip_buffers 8 64k;
gzip_types text/plain text/css text/javascript
application/x-javascript application/javascript;
gzip_proxied any;


# Proxy settings
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass_header Set-Cookie;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffers 32 4k;


# SSL PCI Compliance
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256HE-RSA-AES256-GCM-SHA384HE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHAHE-RSA-AES256-SHA256HE-RSA-AES128-SHA256HE-RSA-AES256-SHAHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHAES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";


# Error pages
error_page 403 /error/403.html;
error_page 404 /error/404.html;
error_page 502 503 504 /error/50x.html;


# Cache
proxy_cache_path /var/cache/nginx levels=2 keys_zone=cache:30m inactive=30m max_size=1G;
proxy_temp_path /var/cache/nginx/temp;
proxy_cache_key "$host$request_uri $cookie_user";
proxy_ignore_headers Expires Cache-Control;
proxy_cache_use_stale error timeout invalid_header http_502;
proxy_cache_valid any 3d;

map $http_cookie $no_cache {
default 0;
~SESS 1;
~wordpress_logged_in 1;
}
# Wildcard include
include /etc/nginx/conf.d/*.conf;
}

Под Centos:

Спойлер: Можно защититься так и оставить работу ботов и пользователей нетронутой.

Определить бота можно, например, проверив его host. Небольшой пример элементарного скрипта по блокировке IP, которые создают много коннектов к серверу (данный вариант проверялся на Centos 5.6



Запись в crond:



*/1 * * * * netstat -an | grep tcp | awk '{print $5}' | cut -d: -f1 | sort -n | uniq -c > /var/log/ip.list



Данная команда создает список с кол-вом подключений и самим IP, пример:



10 209.232.223.117

1 209.85.161.191

2 212.113.39.162

1 212.78.78.78

61 213.142.213.19

5 213.151.240.177

1 210.169.67.225

1 216.179.59.97



Сам скрипт, который можно запустить в screen-е или сделать демоном:



#!/bin/bash

connects=150 <- лимит подключений с одного IP

while read name

do

// здесь передаем переменной кол-во подключений с одного IP

count=`echo $name | awk '{print $1 }'`

// здесь передаем сам IP

ip=`echo $name | awk '{print $2 }'`

//проверка имени хоста

hostname=`host $ip`;

//если кол-во подключений превышает лимит

if [ "$count" -gt "$connects" ]

then

//проверяем, нет ли в белом списке нашего IP

if grep $ip /etc/white.list > /dev/null 2>&1

then

// если в имени хоста есть слово google (у гугло-ботов это слово присутствует)

if echo $hostname | grep "google" > /dev/null 2>&1

then

// то добавляем его в белый список и делаем запись в лог

echo "$ip" >> /etc/white.list

echo `date +%H:%M_%d-%m-%Y` $ip "- ADDED TO WHITE LIST AS $hostname SEARCH BOT IP" >> /var/log/ddos_log

else

// если не гугл - блочим

route add $hostname reject

fi

fi

fi

done < /var/log/ip.list

При этом любой IP адрес не сможет создать больше лимитированного количества.
Такое правило можно оставить как линию обороны.

 

[metsys]

а как его обратно разблокировать, чтобы проверить? ))

iptables -D INPUT -s  46.172.222.72 -j DROP

 

[irip]

iptables -D INPUT -s  46.172.222.72 -j DROP

[root@myserv ~]# iptables -D INPUT -s 46.172.222.72 DROP
Bad argument `DROP'
Try `iptables -h' or 'iptables --help' for more information.
[root@myserv ~]#

 

[metsys]

[root@myserv ~]# iptables -D INPUT -s 46.172.222.72 DROP
Bad argument `DROP'

пропущен ключ -j перед DROP

 

[NULLED555]

кто пользовался сервисом cloudflare.com ? какой тариф стоит использовать? в России все будет работать?
тоже волнует защита от DDOS

 

[NightHunter]

кто пользовался сервисом cloudflare.com ? какой тариф стоит использовать? в России все будет работать?
тоже волнует защита от DDOS

В России, не знаю, т.к. они чет там жаловались на них, но люди говорят, что работает. Сначала бери бесплатный, а там уже посмотришь по ситуации.

 

[Q_BASIC]

кто пользовался сервисом cloudflare.com ? какой тариф стоит использовать? в России все будет работать?
тоже волнует защита от DDOS

Пока что у меня все сайты на бесплатном. Всё работает, но от ддос бесплатный не сильно защищает.

Он кэшировать умеет и если сайт упадет, может страницы сайта кэшированные показывать (если сайт не требует взаимодействия с пользователем много, то помогает).

Моя история:
Доосили меня как-то раз. Те, кто ддосил - post всегда слали, а его CF не кэширует никогда, а напрямую доставляет на сервер. CF ничего не заметил, а сервер лег.
Зато, хорошо статтистику IP наблюдать - тогда сразу было видно, что 90% трафика шло из Китая

В бесплатном есть блеклист, но каждый IP заносит туда не удобно, а делать это надо по одному

На платных есть Web Application Firewall