Zadejte hledaný výraz...

Přetěžují roboti váš web? Skript na ochranu před DOS útoky na web

carlos
verified
rating uzivatele
(19 hodnocení)
1. 5. 2009 23:44:25
Sada skriptu v bashi a php, využívající iptables pro firewall a mysql pro ukládání historie seancí
Ladění účinnosti a citlivosti skriptů skrze parametry, nastavení povolené zátěže dle výkonu serveru. Slouží k ochraně před DOS útoky na váš web. Odstřihne útočníka přímo na IP úrovni, takže nijak nevytěžuje ani apache ani databázi.
- Dve moznosti trapu: Honeypot a nastavení určité hladiny povoleného provozu
- Moznost Honey-potu skrze robots.txt a 404 error
- Nastaveni parametru povoleneho provozu:
Na bazi mod_evasive (apache modul)
- Pro kazdou konkretni IP adresu urceni meze poctu soucasnych requestu na apache (tzn. stranka + vsechny pod skripty, obrazky, css apod.) Pri prekroceni hlaska Forbidden na nastavitelnou dobu.
- Pro kazdou konkretni IP adresu urceni meze poctu znovunacteni jedne a te same stranky (pri prekroceni hlaska Forbidden na nastavitelnou dobu)
- Pri opakovanem prekroceni teto hranice okamzity ban (viz nize).
Na bazi php/mysql include skriptu
- Pro kazdou konkretni IP adresu nastavitelna hranice stranek za minutu 5-ti minutovy interval pro vstup na seznam kategorie "podezrelych".
- Pro kategorii podezrele IP adresy nastavitelna hranice poctu stranek za minutu behem 15-ti minutoveho intervalu. Pri prekroceni nasleduje zabanovani.
- Dve varianty zabanovani s nastavitelným reakčním časem, ovládané crontabem.
- Zabanovani na urovni PHP permanentní s hláškou "kontaktujte admina" (možnost ručního odbanování).
- Zabanování na úrovni iptables na volitelnou dobu.
- E-mailing historii seanci uzivatelu pri prekroceni urcite hladiny vytizeni (nastavitelne parametrem poctu stranek za minutu anebo unix loadem)
- Whitelist na IP a Hostnames pro good robots (defaultne google, seznam)
- Kompletni logovani do souboru
- Prehled nad podezrelymi konexemi v posledni dobe, prehled nad bany
Nutnost přístupu k iptables a crontab.
mod_evasive vám hlídá okamžité rázové vytížení, skript v php/mysql dělá podobnou službu v průběhu delšího intervalu a zachytí tak roboty, kteří nedělají současně více requestů a nechávají mezi requesty pauzy, takže mod_evasive je nezachytí. Přesto vám však mohou natropit mnoho škody především pokud vám hardware stačí tak tak...
Více info na PM
1. 5. 2009 23:44:25
https://webtrh.cz/diskuse/pretezuji-roboti-vas-web-skript-na-ochranu-pred-dos-utoky-na-web/#reply296038
h4tori
verified
rating uzivatele
(15 hodnocení)
1. 5. 2009 23:49:01
pouzivam http://deflate.medialayer.com/ a sem vcelku spokojen
btw. nejvetsi problem mi dela msn bot :)
1. 5. 2009 23:49:01
https://webtrh.cz/diskuse/pretezuji-roboti-vas-web-skript-na-ochranu-pred-dos-utoky-na-web/#reply296037
carlos
verified
rating uzivatele
(19 hodnocení)
2. 5. 2009 00:13:30
(D)DoS-Deflate je dobrý v tom, že funguje nezávisle na apachi. Ovšem funkčně je podobný mod_evasive (který navíc rozliší i více uživatelů skrz proxy), takže nezabanuje ty, co sníží dostatečně rychlost offline browseru. Na netstatu mají totiž jen málo konexí...
Nestalo se ti, že ti někdo sosal několik dní a ušel bez pozornosti?
S oficiálními boty problém nemám, tam se zdá že si sami benchmarkují odezvu a podle toho vytěžují (spíš nevytěžují) web. Třeba seznam fulltext dává tak až 2 dotazy za vteřinu a je tak nejrychlejší ze všech spiderů. Defacto všichni tito dobří boti jsou však pod hranicí banu - narozdíl od chytráků co jim navýšili UPC...
2. 5. 2009 00:13:30
https://webtrh.cz/diskuse/pretezuji-roboti-vas-web-skript-na-ochranu-pred-dos-utoky-na-web/#reply296036
dvlopez
verified
rating uzivatele
12. 5. 2009 22:05:55
Vypada to bajecne, klobouk dolu..
12. 5. 2009 22:05:55
https://webtrh.cz/diskuse/pretezuji-roboti-vas-web-skript-na-ochranu-pred-dos-utoky-na-web/#reply296035
Pro odpověď se přihlašte.
Přihlásit