1 Востаннє редагувалося VTrim (18.01.2015 22:17:08)

Тема: Блок DoS атакуючого IP

Взагалі,захисту від подібних (потужних) DDoS атак на рівні PHP немає,але можна спробувати на перших секундах атаки вирахувати кількість запитів за N секунд з одного IP,і якщо він перевищує норму,то блокувати цей IP на рівні сервера,записуючи через PHP в файл .htaccess рядок deny from IP. (блокувати доступ для IP)

Як гадаєте,це  запрацює при невеликих атаках на більш-менш нормальному сервері/хості ?

=)

2

Re: Блок DoS атакуючого IP

А тоді декілька одночасних php-процесів, ініційованих атакою, разом кинуться переписувати .htaccess?..

py -3 -m pip install git+https://github.com/snoack/python-goto
∩⍴○⌈⍴⍺/∧\∨/⊢○ ⌿⍀⍴⌊

3 Востаннє редагувалося VTrim (18.01.2015 23:25:28)

Re: Блок DoS атакуючого IP

З .htaccess проблем не має бути,так як інтервал перезапису великий.
А от питання запису самого іп в файл (в бд ж не буду писати) з підрахунком звернень може викликати проблеми з перезаписом.
Хоча я перезаписував з інтервалом в 200 мсек,то все норм було.

=)

4

Re: Блок DoS атакуючого IP

VTrim написав:

З .htaccess проблем не має бути,так як інтервал перезапису великий.
А от питання запису самого іп в файл (в бд ж не буду писати) з підрахунком звернень може викликати проблеми з перезаписом.
Хоча я перезаписував з інтервалом в 200 мсек,то все норм було.

Якщо є певна сторінка, яка зразу ж тягне за собою декілька файлів стилів та скриптів, то ви це враховуєте?

А взагалі то, в Apache повинен бути якийсь модуль, який робить таке обмеження набагато краще, ніж це ви намагаєтесь реалізувати через PHP.

5

Re: Блок DoS атакуючого IP

О так і забаньте пошукових ботів, ваш сайт тоді буде дуже популярний)

А взагалі не варто на ПХП робити те, для чого він не призначений. При нормальний атаці ваш скрипт ляже, ще до того як зрозуміє, що його атакують. А при не нормальній сайт має триматись сам, якщо написаний правильно.

Подякували: Djalin1

6 Востаннє редагувалося Djalin (19.01.2015 10:16:39)

Re: Блок DoS атакуючого IP

якщо ддосять - то скрипт не допоможе бо забивається сам канал серверу, ддос де можна блокувати по айпішнику - це не ддлос а пінг якийсь. на хабрі пробували боротись, але там замуровувались наглухо

у варіанті з пхп буде тако.

Кожна "атака" крім власне ресурсів що потребує сам сайт буде додатково  гамцяти ресурси вашого скрипта, що лише збільшить навантаження

7 Востаннє редагувалося VTrim (19.01.2015 10:14:49)

Re: Блок DoS атакуючого IP

Vo_Vik написав:

О так і забаньте пошукових ботів, ваш сайт тоді буде дуже популярний)

А взагалі не варто на ПХП робити те, для чого він не призначений. При нормальний атаці ваш скрипт ляже, ще до того як зрозуміє, що його атакують. А при не нормальній сайт має триматись сам, якщо написаний правильно.

Ви читати вмієте (перший пост)?
Якщо ви хоч раз ддосили сайти,то маєте знати,що на нормальному сервері,сайт не ляже на перших секундах.
Лягає тоді,коли перевищується ліміт ресурсів,CPU.

p.s Ви дійсно вважаєте,що пошукові боти можуть бути настільки активними як при дос атаці?
Останнє ваше речення взагалі доставило)..

=)

8 Востаннє редагувалося Djalin (19.01.2015 10:19:42)

Re: Блок DoS атакуючого IP

можуть, на тому ж  хостінгері ліміт запитів з одного ІР 50, для сайту на 300+ сторрінок то буде справжній армагедец, та й пошукові боти є різні а бувають і не пошукові. ІМХО якщо ддос йде школотою з кількох компів - то простіше просто взяти більш-менш нормальний сервер

9

Re: Блок DoS атакуючого IP

VTrim, між іншим, якщо ви вживаєте термін саме DDoS, то ваше блокування IP-адрес мало що вирішує, адже досять розподілено.

Цей вид атак тим і небезпечний: якщо розглядати кожного окремого користувача, який бере участь в атаці, то він може зі звичайною періодичністю робити запити на сервер. Але атака стає небезпечною саме через масовість таких начебто звичайних запитів від різних користувачів...

10

Re: Блок DoS атакуючого IP

ktretyak написав:

VTrim, між іншим, якщо ви вживаєте термін саме DDoS, то ваше блокування IP-адрес мало що вирішує, адже досять розподілено.

Цей вид атак тим і небезпечний: якщо розглядати кожного окремого користувача, який бере участь в атаці, то він може зі звичайною періодичністю робити запити на сервер. Але атака стає небезпечною саме через масовість таких начебто звичайних запитів від різних користувачів...

гляньте на назву теми і на перше повідомлення.

=)

11

Re: Блок DoS атакуючого IP

VTrim написав:

гляньте на назву теми і на перше повідомлення.

І що я там бачу: в назві теми DoS а в першому повідомленні DDoS. Ну і?

12 Востаннє редагувалося VTrim (19.01.2015 10:30:10)

Re: Блок DoS атакуючого IP

ktretyak написав:
VTrim написав:

гляньте на назву теми і на перше повідомлення.

І що я там бачу: в назві теми DoS а в першому повідомленні DDoS. Ну і?

Взагалі,захисту від подібних (потужних) DDoS атак на рівні PHP немає

.

Те,що DDoS можна віднести до потужних,а DoS ні (про нього і йде мова),в попередньому пості ви самі відповіли чому.

=)

13

Re: Блок DoS атакуючого IP

VTrim написав:

Те,що DDoS можна віднести до потужних,а DoS ні (про нього і йде мова),в попередньому пості ви самі відповіли чому.

Чудово! Тільки де я роблю заперечення цьому вашому висновку?

14 Востаннє редагувалося Djalin (19.01.2015 10:34:39)

Re: Блок DoS атакуючого IP

я ж кажу - мається на увазі пінг

 ping -i 0 -s 10000 -l 100 -q ya.ru

але всеодно краще  юзати  iptables - тим більше якщо у вас сервер

15

Re: Блок DoS атакуючого IP

ktretyak написав:
VTrim написав:

Те,що DDoS можна віднести до потужних,а DoS ні (про нього і йде мова),в попередньому пості ви самі відповіли чому.

Чудово! Тільки де я роблю заперечення цьому вашому висновку?

Не заперечуєте,а не про те мову ведете.

=)

16

Re: Блок DoS атакуючого IP

VTrim написав:

Не заперечуєте,а не про те мову ведете.

Хоча я нічого не зрозумів, але бачу що тут і без мене розберуться =)

17

Re: Блок DoS атакуючого IP

Ладно перефразую те що я сказав, бо бачу не так зрозуміли.

При DDos php блок не поможе, це ви самі розумієте. А при звичайних ламерських Dos скрипт має бути написаний так щоб їх витримувати без проблем, А добавляння всяких лишніх перевірок тільки збільшує його не стабільність і використовує ті ресурси сервера, які могли би піти на корисні задачі.

18

Re: Блок DoS атакуючого IP

Так,нормально написаний,добре оптимізований скрипт зменшить навантаження,але не вирішить проблему.

=)

19

Re: Блок DoS атакуючого IP

Краще це робити на стороні вебсерверу. Для Apache є mod_evasive, для Nginx - limit_req_zone

20

Re: Блок DoS атакуючого IP

TwiStar написав:

Краще це робити на стороні вебсерверу. Для Apache є mod_evasive, для Nginx - limit_req_zone

Але це тільки тоді,коли маєш виділений сервер.

=)