защита от ddos ? / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / защита от ddos ?

12 сообщений из 12, страница 1 из 1

защита от ddos ?

#39051312

Netsystem

Гость

как правильно построить защиту на nginx ? вот вычитал что можно добавить в конфиг следующее ?

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.

limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn perip 100;
limit_conn_zone $server_name zone=perserver:10m;
limit_conn perserver 200;
limit_req_zone $binary_remote_addr zone=reqip:10m rate=10r/s;
limit_req zone=reqip burst=30;

Таким образом, мы установили лимиты на не более чем 100 подключений с одного адреса IP единовременно со скоростью 10-30 новых подключений в секунду и не более 200 – к одному сайту всего с любого количества адресов IP. Превышения будет фиксироваться в журнале ошибок, для которого мы настроим фильтры Fail2ban.
Создаем следующие файлы настроек.

только когда ходишь по сайту из браузера почему-то получаю такие ошибки в логах, в чем может быть причина ?

Код: sql

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.

2015/09/14 23:42:39 [warn] 5712#0: *116347 delaying request, excess: 4.380, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:39 [warn] 5712#0: *116344 delaying request, excess: 4.970, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:39 [warn] 5712#0: *116345 delaying request, excess: 5.440, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116346 delaying request, excess: 1.640, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116345 delaying request, excess: 1.850, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116346 delaying request, excess: 1.410, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116346 delaying request, excess: 0.740, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116341 delaying request, excess: 1.740, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116343 delaying request, excess: 2.710, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116345 delaying request, excess: 3.710, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116344 delaying request, excess: 4.710, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116346 delaying request, excess: 4.630, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116341 delaying request, excess: 4.710, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:40 [warn] 5712#0: *116343 delaying request, excess: 4.760, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:41 [warn] 5712#0: *116345 delaying request, excess: 4.860, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:41 [warn] 5712#0: *116344 delaying request, excess: 4.840, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:41 [warn] 5712#0: *116346 delaying request, excess: 4.630, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:41 [warn] 5712#0: *116343 delaying request, excess: 3.750, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:41 [warn] 5712#0: *116345 delaying request, excess: 3.860, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:41 [warn] 5712#0: *116341 delaying request, excess: 4.550, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:41 [warn] 5712#0: *116344 delaying request, excess: 4.860, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:41 [warn] 5712#0: *116346 delaying request, excess: 4.750, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116341 delaying request, excess: 2.600, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116343 delaying request, excess: 3.580, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116344 delaying request, excess: 3.770, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116345 delaying request, excess: 4.630, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116343 delaying request, excess: 2.760, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116346 delaying request, excess: 3.630, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116344 delaying request, excess: 3.760, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116341 delaying request, excess: 3.770, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116345 delaying request, excess: 4.640, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116343 delaying request, excess: 4.850, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116346 delaying request, excess: 4.750, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:42 [warn] 5712#0: *116344 delaying request, excess: 4.770, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:43 [warn] 5712#0: *116341 delaying request, excess: 4.600, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:43 [warn] 5712#0: *116345 delaying request, excess: 4.730, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:43 [warn] 5712#0: *116346 delaying request, excess: 3.860, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:43 [warn] 5712#0: *116343 delaying request, excess: 3.610, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:43 [warn] 5712#0: *116341 delaying request, excess: 3.690, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:43 [warn] 5712#0: *116344 delaying request, excess: 3.640, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:43 [warn] 5712#0: *116346 delaying request, excess: 3.610, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:43 [warn] 5712#0: *116345 delaying request, excess: 3.590, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:43 [warn] 5712#0: *116343 delaying request, excess: 3.790, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:44 [warn] 5712#0: *116341 delaying request, excess: 3.710, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:44 [warn] 5712#0: *116346 delaying request, excess: 3.870, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:44 [warn] 5712#0: *116344 delaying request, excess: 4.420, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:44 [warn] 5712#0: *116343 delaying request, excess: 3.870, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:44 [warn] 5712#0: *116344 delaying request, excess: 1.840, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:45 [warn] 5712#0: *116341 delaying request, excess: 0.660, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:45 [warn] 5712#0: *116343 delaying request, excess: 1.640, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:42:45 [warn] 5712#0: *116345 delaying request, excess: 2.590, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:43:22 [warn] 5712#0: *116711 delaying request, excess: 0.530, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:43:22 [warn] 5712#0: *116760 delaying request, excess: 1.080, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:43:22 [warn] 5712#0: *116761 delaying request, excess: 1.820, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:43:22 [warn] 5712#0: *116762 delaying request, excess: 2.810, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:43:24 [warn] 5712#0: *116761 delaying request, excess: 1.000, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:
2015/09/14 23:43:45 [warn] 5712#0: *116761 delaying request, excess: 0.970, by zone "reqip", client: 46.188.123.68, server: domain.ru, request:

...

Рейтинг:

0 / 0

14.09.2015, 23:45

| Ответить | Цитировать | Написать

защита от ddos ?

#39051432

VGrey

Гость

Netsystem, Смотрите по логу, у Вас срабатывет reqip.. Куда ограничения включены в конфиге nginx? Если все в секцию http, то это не совсем правильно. limit_ххх_zone должен быть описан в секции http, а сами ограничения в конкретных локейшинах. Например, наверняка у Вас статика отдается nginx и описана в отдельном локейшин. Ограничивать для статики rate=10r/s нет никакого смысла, поскольку nginx не напрягаясь может отдать на пару порядков больше.

---
Виктор

...

Рейтинг:

0 / 0

15.09.2015, 09:05

| Ответить | Цитировать | Написать

защита от ddos ?

#39051990

Netsystem

Гость

VGrey Netsystem, Смотрите по логу, у Вас срабатывет reqip.. Куда ограничения включены в конфиге nginx? Если все в секцию http, то это не совсем правильно. limit_ххх_zone должен быть описан в секции http, а сами ограничения в конкретных локейшинах. Например, наверняка у Вас статика отдается nginx и описана в отдельном локейшин. Ограничивать для статики rate=10r/s нет никакого смысла, поскольку nginx не напрягаясь может отдать на пару порядков больше.

да в секцию http, а я пытаюсь понять, почему срабатывает reqip, когда я просто тестирую и захожу из браузера ?

---
Виктор

...

Рейтинг:

0 / 0

15.09.2015, 16:00

| Ответить | Цитировать | Написать

защита от ddos ?

#39052005

Netsystem

Гость

VGrey, вот по этому и спрашиваю почему срабатывает ограничение ?

...

Рейтинг:

0 / 0

15.09.2015, 16:11

| Ответить | Цитировать | Написать

защита от ddos ?

#39052387

VGrey

Гость

NetsystemVGrey, вот по этому и спрашиваю почему срабатывает ограничение ?

Потому, что у Вас неправильно настроено в конфиге. Хотя, более правильный ответ: полтомучто - какой вопрос, такой ответ.
Вас же спрашивали:
VGreyКуда ограничения включены в конфиге nginx?
Где ответ на этот вопрос?

Вам писали:
если VGreyу Вас статика отдается nginx и описана в отдельном локейшин. Ограничивать для статики rate=10r/s нет никакого смысла, поскольку nginx не напрягаясь может отдать на пару порядков больше.
Это не похоже на прямой ответ на Ваш вопрос?

---
Виктор.

...

Рейтинг:

0 / 0

16.09.2015, 07:53

| Ответить | Цитировать | Написать

защита от ddos ?

#39052979

Netsystem

Гость

VGrey, в секции http все описано ? почему это не правильно ?

...

Рейтинг:

0 / 0

16.09.2015, 15:44

| Ответить | Цитировать | Написать

защита от ddos ?

#39053236

Netsystem

Гость

Вопрос еще раз, почему срабатывает reqip ? можете пояснить более подробно

...

Рейтинг:

0 / 0

16.09.2015, 20:12

| Ответить | Цитировать | Написать

защита от ddos ?

#39053462

VGrey

Гость

NetsystemВопрос еще раз, почему срабатывает reqip ? можете пояснить более подробно

Netsystem , думаю, Файрфокс у Вас стоит, ставите к нему firebug, смотрите с помощью firebug Ваш сайт. Пытаетесь на глаз оценить, или более точно подсчитать сколько именно изображений в секунду отдается. Это упражнение очень полезно для понимания настроек nginx, настоятельно рекомендую.
Потом пробуете переосмыслить эти фразы:
VGreyОграничивать для статики rate=10r/s нет никакого смысла, поскольку nginx не напрягаясь может отдать на пару порядков больше.
VGrey limit_ххх_zone должен быть описан в секции http, а сами ограничения в конкретных локейшинах. Например, наверняка у Вас статика отдается nginx и описана в отдельном локейшин.

Идея в том, что бы Вы сами нашли ответы на Ваши вопросы.
Если это не поможет Вам самостоятельно прийти к определенным выводам, прошу в личное общение, смотрите контакты.

---
Виктор

...

Рейтинг:

0 / 0

17.09.2015, 07:43

| Ответить | Цитировать | Написать

защита от ddos ?

#39053895

Netsystem

Гость

а как убрать логирование скажем warn, а отображать только error ?

...

Рейтинг:

0 / 0

17.09.2015, 14:02

| Ответить | Цитировать | Написать

защита от ddos ?

#39054268

Ivan_Pisarevsky

Участник

Откуда: НН

Сообщения: 9 563

Рейтинг: 0 / 0

Netsystemотображать только errorприменить grep

...

Рейтинг:

0 / 0

17.09.2015, 17:56

| Ответить | Цитировать | Написать

защита от ddos ?

#39054295

Netsystem

Гость

Ivan_PisarevskyNetsystemотображать только errorприменить grep
имелось ввиду чтобы в лог не писало

...

Рейтинг:

0 / 0

17.09.2015, 18:15

| Ответить | Цитировать | Написать

защита от ddos ?

#39054669

VGrey

Гость

NetsystemВопрос еще раз, почему срабатывает reqip ? можете пояснить более подробно

Могу пояснить более подробно. Покажите весь конфиг, полностью, со всеми инклудами и доменами. Для Вас очевидно, что для конкретного ответа должен быть конкретный вопрос? Если чего-то опасаетесь, прошу в личное общение, контакты есть в профиле.
Еще один аоргумент за перенос обсуждения в личку - Ваш вопрос не вызвал интереса в форуме.

---
Виктор

...

Рейтинг:

0 / 0

18.09.2015, 09:09

| Ответить | Цитировать | Написать

12 сообщений из 12, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / защита от ddos ?

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=39054669&tid=1481949]:	0ms
get settings:	10ms
get forum list:	13ms
check forum access:	3ms
check topic access:	3ms
track hit:	61ms
get topic data:	10ms
get forum data:	2ms
get page messages:	46ms
get tp. blocked users:	1ms
others:	247ms

total:	396ms