![HTTP Flood.Отфильтровать в один запросlog_format $http_accept $http_accept_language $http_accept_encoding;+grep --line-buffered= tail -f /var/log/nginx/myserver.access_log | \grep --line-buffered \-F '*/* en-us -' | \grep --line-buffered -oE "\BOINK [0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3} " | sed -u "s/^BOINK//" | xargs -n1 ipset -A myservивариациинатемуизmyserv.error_logпоключевомуслову limiting](https://image.slidesharecdn.com/123-091014033953-phpapp01/85/DDoS-Survival-Guide-14-320.jpg)
DDoS: Survival Guide
- 3. Cтоимость арендыботнета – низкая
- 4. Эффективность - высокаяСмотрим врагу в лицо
- 6. жадность
- 7. инертность
- 8. ущербность
- 9. транснациональностьDDoS - онпришел…Не паникуемУдаляемhttp серверизавтостартаЧто в top?Интересные сообщениевdmesgСодержимое netstatАнализируем access. Log
- 12. HTTP Flood.FrontendИожидаемпопавшихсяботовна default vhost server { listen 80; server_name noname; return 444; }Ограничиваемколичествоодновременныхсоединенийсодногоiplimit_zoneconlim $binary_remote_addrXXm;limit_connconlim XX;
- 13. HTTP Flood.BackendБюджетированиенагрузкинаскриптовыйбэкендчерезlimit_req_zone $binary_remote_addr zone=qulim:Xm rate=Yr/s;limit_req zone=qulim burst=Z;
- 14. HTTP Flood.Отфильтровать в один запросlog_format $http_accept $http_accept_language $http_accept_encoding;+grep --line-buffered= tail -f /var/log/nginx/myserver.access_log | \grep --line-buffered \-F '*/* en-us -' | \grep --line-buffered -oE "\BOINK [0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3} " | sed -u "s/^BOINK//" | xargs -n1 ipset -A myservивариациинатемуизmyserv.error_logпоключевомуслову limiting
- 15. HTTP Flood.КогофильтроватьненужноВашисобственныеajaxскрипты (вставляемзаголовки-маркеры)Полезныхботов, напримерпоисковики: 77.88.0.0/18 Yandex
- 22. 81.19.64.0/19 Rambler*рамблер - этотелеком, итаминогдаживутботы.
- 23. Conntrack abuseip_conntrack: table full, dropping packet ?Conntrackхранитсоединениявhashtableинебесплатен.Прибольшихразмерахтаблицыможно:net.ipv4.netfilter.ip_conntrack_tcp_timeout_*нопрощевыключить:iptables -t RAW -A PREROUTING -d$PUBLISHED_IP -j NOTRACKiptables -t RAW -A OUTPUT -d$PUBLISHED_IP -jNOTRACK
- 24. Большойобьемотфильрованыхботов?ipsetегочудесныеb-tree дляплохихботовipset -N myserviptree --timeout XXipset -A myserv $OFFENDING_IPи -N goodbotsnethash --hashsize 512 --probes 4 --resize 50дляхороших