למישהו יש המצלמה למוד נגד התקפות HTTP? - הוסטס

Yellow Slider · 17-09-09, 21:38

אני עובד עם אפאצ'י 1.3, יש לי APF מותקן ורץ.

לדעתי הAPF מקונפג טוב, אבל עדיין ילדודס מעלים את ה LOAD בשרת ומעמיסים על האפאצ'י והAPF לא חוסם אותם, מגיע למצבים שIP מגיע ל 100K requests, וכמובן שתמיד יש לי 10-20 כאלו בו זמנית ולשרת אין סיכוי, מיותר להוסיף שאני לא מעוניין לחסום אותם ידנית.

אני אשמח להמלצות לטיפול בתופעה, תודה רבה מראש.

ד"א רץ על השרת פורום ככה שאני צריך להזהר לא לחסום משתמשים שסתם מנסים לגלוש.

FreshServ.Net · 17-09-09, 21:41

אין מוד קסמים...נקודה.

תבדוק באילו התקפות (סוג) מדובר ותחזור עם תשובות...בנוסף, תדביק פה את הגדרות האפצ'י שלך.

אגב, מאחר ואני כבר לא מחכה לטלפון ממך, מעניין אותי, גיא מהוסטריק עדיין מתחזק לך את השרת?

Yellow Slider · 17-09-09, 21:45

הוא סה"כ עזר לי בקנפוג כמה דברים בשרת ואנחנו חברים, לא יותר מזה, מה הוא קשור בכלל?

סוג התקפות? ילדים מסכנים שמריצים איזה סקריפט שטוחן GETים לעמוד מסויים באתר.

MinSpareServers 10
MaxSpareServers 15
StartServers 15
MaxClients 1256
MaxRequestsPerChild 1000

Kernel · 17-09-09, 21:49

דווקא כן יש MOD קסמים,
בהנחה שמדובר ביותר מ-REQUEST אחד ל-IP.
כאן תוכל לקרוא לגביו.
דוגמא חיה מהצפה היום בצהריים[לפני המוד - load avarage 5.5, אחרי - 0.5]

קוד:

2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.
2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.
2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.
2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.
2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.
2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.
2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.
2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.
2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.
2009-09-17 16:42:45: (mod_evasive.c.183) 192.117.XXX.XXX turned away. Too many connections.

רעיון נוסף, או אפילו שילוב של השניים, הוא זה, אתה פשוט מגביל את ה-REQUEST פר IP ל-X ב-Y זמן, במידה ו-IP מסויים "עבר" על החוק, הוא נחסם מהפורט.

בעיקרון, עדיף להשתמש ב-IPTABLES מאשר במודים כלשהם ל-apache/lighttpd.

Yellow Slider · 17-09-09, 21:55

תודה רבה, אני מכיר את mod_evasive אבל הדעות עליו חלוקות, יכולה להיות בעיה להריץ את המוד במקביל לAPF? יש לך אולי קונפיגורציה מומלצת?

תודה רבה מראש.

Kernel · 17-09-09, 21:58

APF הוא סקריפט של IPTABLES - עובד מול ה-KERNEL.
EVASIVE הוא פלאגאין של Apache/Lighttpd - עובד מול התוכנה עצמה.

אין שום קשר בינהם.
לגבי קנפיגורציות, תלוי באתר, בסוג שלו, כמה תמונות יש בדף בממוצע וכו' וכו'.

FreshServ.Net · 17-09-09, 22:00

אין התנגשות בין APF לאבייסיב...

אה ואבי, לפי דעתי, אבייסיב הוא לא מוד קסם...שוב, אולי זו רק דעתי.

אור, שלחתי לך ה"פ עם כמה הצעות.

Kernel · 17-09-09, 22:03

על טעם ועל ריח.

המוד בגדול דיי מיותר מאחר ואפשר לחסוך את ה-PLUGIN ואת הזיכרון וה-CPU שהוא משתמש[שאומנם, לא מדובר בהרבה, אבל תכפיל פרוסס אחד ב-850 גולשים ברגע נתון ומדובר בחיסכון משמעותי].

**דניאל** · 17-09-09, 22:16

הבעיה עם mod_evasive היא לא טעם וריח,
הבעיה היא false positive גבוהה במיוחד.

כפי שנאמר כאן, אין פתרון קסם - עם קצת ידע בbash ניתן לכתוב סקריפט שיטפל באופן יפה בנושא מול iptables.

אגב,
כמה זכרון יש לך בשרת?
יש לאן לקדם (מאוד) את הקונפיגורציה שלך, אפילו את הערכים הבסיסים שהצגת כאן.

Yellow Slider · 17-09-09, 22:20

יש לי 6 ג'יגה זיכרון, 2 מעבדי קאווד קור.

17-09-09, 21:38	# 1
Yellow Slider חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 417	למישהו יש המצלמה למוד נגד התקפות HTTP? אני עובד עם אפאצ'י 1.3, יש לי APF מותקן ורץ. לדעתי הAPF מקונפג טוב, אבל עדיין ילדודס מעלים את ה LOAD בשרת ומעמיסים על האפאצ'י והAPF לא חוסם אותם, מגיע למצבים שIP מגיע ל 100K requests, וכמובן שתמיד יש לי 10-20 כאלו בו זמנית ולשרת אין סיכוי, מיותר להוסיף שאני לא מעוניין לחסום אותם ידנית. אני אשמח להמלצות לטיפול בתופעה, תודה רבה מראש. ד"א רץ על השרת פורום ככה שאני צריך להזהר לא לחסום משתמשים שסתם מנסים לגלוש.

17-09-09, 21:41	# 2
FreshServ.Net אחראי פורום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 3,539	אין מוד קסמים...נקודה. תבדוק באילו התקפות (סוג) מדובר ותחזור עם תשובות...בנוסף, תדביק פה את הגדרות האפצ'י שלך. אגב, מאחר ואני כבר לא מחכה לטלפון ממך, מעניין אותי, גיא מהוסטריק עדיין מתחזק לך את השרת? __________________ אתר העסק ושירותיו: אחסון אתרים מקצועיים, שרת רדיו איכותי וגם ריסלר שרתי משחק מהיר. אי-מייל: admin at freshserv.net.

17-09-09, 21:58	# 6
Kernel אושיית הוסטינג דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בקעת אונו הודעות: 2,429	APF הוא סקריפט של IPTABLES - עובד מול ה-KERNEL. EVASIVE הוא פלאגאין של Apache/Lighttpd - עובד מול התוכנה עצמה. אין שום קשר בינהם. לגבי קנפיגורציות, תלוי באתר, בסוג שלו, כמה תמונות יש בדף בממוצע וכו' וכו'. __________________ אבי

17-09-09, 22:00	# 7
FreshServ.Net אחראי פורום דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 3,539	אין התנגשות בין APF לאבייסיב... אה ואבי, לפי דעתי, אבייסיב הוא לא מוד קסם...שוב, אולי זו רק דעתי. אור, שלחתי לך ה"פ עם כמה הצעות. __________________ אתר העסק ושירותיו: אחסון אתרים מקצועיים, שרת רדיו איכותי וגם ריסלר שרתי משחק מהיר. אי-מייל: admin at freshserv.net.

17-09-09, 22:03	# 8
Kernel אושיית הוסטינג דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בקעת אונו הודעות: 2,429	על טעם ועל ריח. המוד בגדול דיי מיותר מאחר ואפשר לחסוך את ה-PLUGIN ואת הזיכרון וה-CPU שהוא משתמש[שאומנם, לא מדובר בהרבה, אבל תכפיל פרוסס אחד ב-850 גולשים ברגע נתון ומדובר בחיסכון משמעותי]. __________________ אבי


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

17-09-09, 21:45	# 3
Yellow Slider חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 417	הוא סה"כ עזר לי בקנפוג כמה דברים בשרת ואנחנו חברים, לא יותר מזה, מה הוא קשור בכלל? סוג התקפות? ילדים מסכנים שמריצים איזה סקריפט שטוחן GETים לעמוד מסויים באתר. MinSpareServers 10 MaxSpareServers 15 StartServers 15 MaxClients 1256 MaxRequestsPerChild 1000

17-09-09, 21:55	# 5
Yellow Slider חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 417	תודה רבה, אני מכיר את mod_evasive אבל הדעות עליו חלוקות, יכולה להיות בעיה להריץ את המוד במקביל לAPF? יש לך אולי קונפיגורציה מומלצת? תודה רבה מראש.

17-09-09, 22:16	# 9
דניאל מנהל ראשי דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: ראשון לציון גיל: 40 הודעות: 6,503	הבעיה עם mod_evasive היא לא טעם וריח, הבעיה היא false positive גבוהה במיוחד. כפי שנאמר כאן, אין פתרון קסם - עם קצת ידע בbash ניתן לכתוב סקריפט שיטפל באופן יפה בנושא מול iptables. אגב, כמה זכרון יש לך בשרת? יש לאן לקדם (מאוד) את הקונפיגורציה שלך, אפילו את הערכים הבסיסים שהצגת כאן. __________________ דניאל דוא"ל: dannyg@sPD.co.il sPD Hosting בע"מ \| אחסון אתרים \| בלוג אחסון אתרים טלפון להזמנות: 1-599-559977

17-09-09, 22:20	# 10
Yellow Slider חבר מתקדם דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 417	יש לי 6 ג'יגה זיכרון, 2 מעבדי קאווד קור.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)