ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: http ddos

  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: http ddos
  • From: Alex Shatlovsky <shatlovsky@xxxxxxxxx>
  • Date: Thu, 22 Oct 2009 18:03:22 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=IkWxFDB0HkIxtp9SawWICqaFuGUbGam3cuwZ75ecMcw=; b=hBhgVvo+sYxVGvOP7nSwSzc7ZiRjQgFyfSvVLd/FX5XnEDB3+CBj+NCvqIcY3Hpiwq tecW3z8icYxrQTkDIjgAAe6BL0MNOA8lg29BaQtfqY/X9RI/CWKOtQLAEFSqi2R4ko27 /3PQwrywk3ZdHAOXj2cHLhdduH3lHq7MCptq4=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=N0p36bFmTM9c9rRaR+JTcoUOe1grGy0h4itDe9RtevWm3sThV/EtapLP3khNIPwv1N n4sIL/FLNCiE2DVLHSJ+Gh3W0Xk0LQitY/TXVhJSGBCxrIHe28f8gfu4fUJQ5vPoJmQZ j48UGD3ogbmh6WQ0LoXnr6749+mN8XlmUXbIc=
  • In-reply-to: <956672601.20091022173334@xxxxxx>
  • References: <956672601.20091022173334@xxxxxx>
2009/10/22 Алексей Кузьмин <ak@xxxxxx>:
>
> Досят сайт под nginx-ом запросами "GET / HTTP/1.1"
>
> Настроили сервер (Debian) так что он сейчас выдерживает конекты ботнета.
>
> Осталась проблема паразитного трафика. Выглядит это так
>
> а) если отключить nginx
>   Incoming rates:    6085.2 kbits/sec
>   Outgoing rates:    5342.1 kbits/sec
>
> б) nginx включен - и на любой запрос отдает ПУСТОЙ html
>
>  Incoming rates:   56786.6 kbits/sec
>  Outgoing rates:   54696.1 kbits/sec
>
> в) nginx  - и на любой запрос отдает html размеров 2Kb
>  Incoming rates:   57512.1 kbits/sec
>  Outgoing rates:  343470.9 kbits/sec
>
> Входящий трафик не изменился а вот исходящий вырос очень сильно.
>
> Думаю проблема знакома многим.
>
> ВОПРОС
> Скажите пож-ста, возможно ли настройками nginx уменьшить этот паразитный траф 
> хотя бы в 2 раза?

Например, так:
Выясняете, чем паразитные запросы отличаются от нормальных.
В логах на такие запросы ставите маркер.
Лог парсите, выделяя IP по маркеру, и паразитные IP блокируете с
помощью iptables+ipset.

Осмысленно отвечать на паразитный трафик нет никакого смысла.

Еще посмотрите доклад Лямина на эту тему:
http://highload.ru/papers2009/12217.html


--


>
> Или тут поможет только фильтрация через  внешний фаервол?
> --
>
> С уважением,
>  Алексей                          mailto:ak@xxxxxx
>
>
>



-- 
С уважением,
А.Н.Шатловский
  • References:
    • http ddos
      • From: Алексей Кузьмин

 



Copyright © Lexa Software, 1996-2009.