הוסטס - פורום אחסון האתרים הגדול בישראל - למישהו יש המצלמה למוד נגד התקפות HTTP?

- תחזוק שרתים ושירותי רשת נוספים (https://hosts.co.il/forums/forumdisplay.php?f=29)

- - למישהו יש המצלמה למוד נגד התקפות HTTP? (https://hosts.co.il/forums/showthread.php?t=78412)

אז תרגיש חופשי ל..

MinSpareServers 40
MaxSpareServers 50
StartServers 200
MaxRequestsPerChild 5000

שיניתי, תודה רבה :)
ד"א, ההגדרות אמורות להשפיע על מהירות העליה של כל דף?
אתה ממליץ לי להשתמש במודול המדובר לאפאצ'י?

ההגדרות לא ישפיעו על מהירות העליה של הדפים,
הם פשוט יאפשרו התמודדות מעט יותר טובה עם ההתקפות.

סה"כ מה ששונה הוא ההגדרה של מס' הפרוססים איתו הapache מתחיל לרוץ,
וכמה פרוססים "אקסטרה" הוא ישמור בכל זמן נתון.

כפי שרשמתי קודם.. לטעמי, הfalse positive של המודול גדול מידי מה שאומר שייתכן והוא יחסום את ההתקפות,
אבל הוא יחסום גם לא מעט גולשים לגיטימיים ולכן אני לא ממליץ את השימוש בו.

יש כמה שיטות להתמודד, כמו שאמרתי לך במסנג'ר כבר לפני שפתחת את האשכול.

השיטה המגעילה , לעקוב אחרי LOAD ולעשות ריסטרט לאפאצי כשהLOAD עולה... ( לא מומלצת ).
והשיטה הנקייה, לעקוב אחרי מספר חיבורי ה TCP במצב SYN וברגע שערך עולה על כמות מסויימת , לדחוף שורה לפירוואל שיחסום את האיפי התוקף.
אני יוצא מנקודת הנחה שמדובר באיפיים דינאמים ,אז הייתי ממליץ להוסיף "GRACE TIME " לחסימות , ככה שלא יצא שתחסום אנשים תמימים שאחרי שבוע ימשכו איפי של מישהו שתוקף.

לגבי השיטה המגעילה
דחוף את זה בקרון
אל תקח את ה 20 בתור המלצה למצב שאפשר לסבול , זה סתם סקריפט לדוגמא , שאני לא ממליץ להשתמש בו בכלל, אבל זו אופציה בינתיים לפחות עד שתגבש פתרון הולם לבעיה שלך.

קוד:

#!/bin/bash

# this script was built to deal with stupid httpd floods in the most easy and ugly workaround ever

# not recommended for production servers!

loadavg=`uptime | awk '{print $10}'`

RESTART="/etc/init.d/httpd restart"

thisloadavg=`echo $loadavg|awk -F \. '{print $1}'`

if [ "$thisloadavg" -ge "20" ]; then

$RESTART

elif [ "$thisloadavg" -le "4" ]; then

pgrep httpd

if [ $? -ne 0 ]

then

$RESTART

fi

fi

לגבי השיטה הנחמדה יותר... זה צריך להבנות מול השרת שלך בהתאמה לפירוואל.

אם יש לך תקציב - http://www.youtube.com/watch?v=wr-wPXOOinA

אבל השיטה הכי הכי טובה זה לקחת את האיפי של התוקף ( ישראלי כן? ) , טלפון קצר לספקית שלו , מכתב אזהרה , ותישן רגוע.

( או שתשדרג את החומרה שלך לשרת כמו שהראתי לך מקודם ;-) ואז לא יהיה לך איכפת מנסיונות כושלים שכאלה )

תקלוט לא נמאס להם
613
218.163.16.167
root@emily [~]#

יש המון דרכים להתמודד עם זה, אחד מהן היא פיירוואל שיתופי שבדר"כ אמור לתת מענה לבעיות כאלה.
פיתרון אחר הוא סקריפט ברמת המערכת שבודק בעזרת netstat חיבורים לשרת מכל כתובת IP, לא משנה לאיזה service הוא מכוון, וסופר אותן וברגע שהכתובת עוברת מספר מוגדר של חיבורים SYN או לא זה לא משנה, היא תחסום
יש פה משהו לדוגמא, לא יודע כמה הוא יעיל אבל שווה לנסות
http://www.webhostingtalk.com/showthread.php?t=464364
בכ"א דבר איתי, אני זמין
חג שמח ושנה טובה
אלעד