הוסטס - פורום אחסון האתרים הגדול בישראל - למישהו יש המצלמה למוד נגד התקפות HTTP?

- תחזוק שרתים ושירותי רשת נוספים (https://hosts.co.il/forums/forumdisplay.php?f=29)

- - למישהו יש המצלמה למוד נגד התקפות HTTP? (https://hosts.co.il/forums/showthread.php?t=78412)

למישהו יש המצלמה למוד נגד התקפות HTTP?

אני עובד עם אפאצ'י 1.3, יש לי APF מותקן ורץ.

לדעתי הAPF מקונפג טוב, אבל עדיין ילדודס מעלים את ה LOAD בשרת ומעמיסים על האפאצ'י והAPF לא חוסם אותם, מגיע למצבים שIP מגיע ל 100K requests, וכמובן שתמיד יש לי 10-20 כאלו בו זמנית ולשרת אין סיכוי, מיותר להוסיף שאני לא מעוניין לחסום אותם ידנית.

אני אשמח להמלצות לטיפול בתופעה, תודה רבה מראש.

ד"א רץ על השרת פורום ככה שאני צריך להזהר לא לחסום משתמשים שסתם מנסים לגלוש.

אין מוד קסמים...נקודה.

תבדוק באילו התקפות (סוג) מדובר ותחזור עם תשובות...בנוסף, תדביק פה את הגדרות האפצ'י שלך.

אגב, מאחר ואני כבר לא מחכה לטלפון ממך, מעניין אותי, גיא מהוסטריק עדיין מתחזק לך את השרת?

הוא סה"כ עזר לי בקנפוג כמה דברים בשרת ואנחנו חברים, לא יותר מזה, מה הוא קשור בכלל?

סוג התקפות? ילדים מסכנים שמריצים איזה סקריפט שטוחן GETים לעמוד מסויים באתר.

MinSpareServers 10
MaxSpareServers 15
StartServers 15
MaxClients 1256
MaxRequestsPerChild 1000

דווקא כן יש MOD קסמים,
בהנחה שמדובר ביותר מ-REQUEST אחד ל-IP.
כאן תוכל לקרוא לגביו.
דוגמא חיה מהצפה היום בצהריים[לפני המוד - load avarage 5.5, אחרי - 0.5]

קוד:

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

רעיון נוסף, או אפילו שילוב של השניים, הוא זה, אתה פשוט מגביל את ה-REQUEST פר IP ל-X ב-Y זמן, במידה ו-IP מסויים "עבר" על החוק, הוא נחסם מהפורט.

בעיקרון, עדיף להשתמש ב-IPTABLES מאשר במודים כלשהם ל-apache/lighttpd.

תודה רבה, אני מכיר את mod_evasive אבל הדעות עליו חלוקות, יכולה להיות בעיה להריץ את המוד במקביל לAPF? יש לך אולי קונפיגורציה מומלצת?

תודה רבה מראש.

APF הוא סקריפט של IPTABLES - עובד מול ה-KERNEL.
EVASIVE הוא פלאגאין של Apache/Lighttpd - עובד מול התוכנה עצמה.

אין שום קשר בינהם.
לגבי קנפיגורציות, תלוי באתר, בסוג שלו, כמה תמונות יש בדף בממוצע וכו' וכו'.

אין התנגשות בין APF לאבייסיב...

אה ואבי, לפי דעתי, אבייסיב הוא לא מוד קסם...שוב, אולי זו רק דעתי.

אור, שלחתי לך ה"פ עם כמה הצעות.

על טעם ועל ריח.

המוד בגדול דיי מיותר מאחר ואפשר לחסוך את ה-PLUGIN ואת הזיכרון וה-CPU שהוא משתמש[שאומנם, לא מדובר בהרבה, אבל תכפיל פרוסס אחד ב-850 גולשים ברגע נתון ומדובר בחיסכון משמעותי].

הבעיה עם mod_evasive היא לא טעם וריח,
הבעיה היא false positive גבוהה במיוחד.

כפי שנאמר כאן, אין פתרון קסם - עם קצת ידע בbash ניתן לכתוב סקריפט שיטפל באופן יפה בנושא מול iptables.

אגב,
כמה זכרון יש לך בשרת?
יש לאן לקדם (מאוד) את הקונפיגורציה שלך, אפילו את הערכים הבסיסים שהצגת כאן.

יש לי 6 ג'יגה זיכרון, 2 מעבדי קאווד קור.