DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > Web Hosting, web serveri i operativni sistemi
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

Web Hosting, web serveri i operativni sistemi Komercijalni hosting, web serveri, bezbednost, operativni sistemi na serverima

Odgovori
 
Alati teme Način prikaza
Staro 04. 08. 2007.   #11
misk0
majstor
Wrote a book
 
Avatar misk0
 
Datum učlanjenja: 30.01.2006
Lokacija: Lugano - Switzerland
Poruke: 1.251
Hvala: 219
106 "Hvala" u 67 poruka
misk0 će postati "faca" uskoromisk0 će postati "faca" uskoro
Pošaljite ICQ poruku za misk0 Pošaljite poruku preko Skype™ za misk0
Default

Yahoo botovi imaju ogranicen opseg adresa, mozes traziti od provajdera (ukoliko imas dedicated server) da na ruteru blokira te adrese. Druga mogucnost ti je mod_throttle za apache koji ima tonu nekih opcija a jedna od njih je i da blokira odredjene IPove prije nego sto apache otvori proces za njega, tj prije nego sto ga 'obradi'. Na taj nacin mozes smanjiti opterecenje na procesoru.
Treca mogucnost: pisati Yahooo da te izbaci iz baze???
misk0 je offline   Odgovorite uz citat
Staro 04. 08. 2007.   #12
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

jel postoji mod_throttle za apache2.0 ?
pokusavam da ga nadjem, ali nalazim samo verziju za 1.3
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Staro 04. 08. 2007.   #13
bNasty
profesionalac
Professional
 
Datum učlanjenja: 06.10.2006
Lokacija: Big Smoke
Poruke: 281
Hvala: 0
17 "Hvala" u 12 poruka
bNasty is on a distinguished road
Pošaljite poruku preko MSN za bNasty
Default

Citat:
OpenBSD je super, ali samo packet filter ne moze da resi problem, jer ce u jednom trenutku da dodje do
data overhead-a, koji ce da dovede do 100% iskoriscenja procesorskog vremena, i opet ode sve u tri lepe...

To se resava tako sto stavish jedan server koji ce da analizira pakete, pa ukoliko je neko u nekom kratkom vremenskom periodu poslao dva ista ili slicna zahteva, onda ga forwardujesh na neki dummu server... A glavni server koji radi celu pricu ostaje sa relativno malim povecanjem zahteva...
Sve to stoji. Uz chinjenicu da je pf MNOGO VISHE nego prosti packet filter. Nikada se nisam preterano upushtao u konfiguraciju iptables na linuxu, ali shto vishe vremena provodim na OpenBSD-u sve sam vishe mishljenja da su kojekakvi mod_ovo/ono nepotrebni, chak i ako OpenBSD radi i kao pf i kao web-server.

Recimo, PF se vrti u kernelu i treba mu svega 32MB za 30,000 statefull konekcija i ne brine ga preterano CPU ni velichina paketa (i 486 mozhe da opsluzhi 5Mbps liniju). Ima ugradjenu zashtitu od spoofinga i SYN-proxy povrh toga. Podrzhava load-balancing i na ulazu i na izlazu (random, round-robin, itd.) i traffic shaping. I josh gomilu stvari...
Ono shto je meni trebalo - IP tabele su dinamichke. PF mozhe da prati sve IP adrese koje, recimo, probiju limit broja konekcija u sekundi i automatski ih stavi na "hladjenje" na neko vreme (reshenje za taj Yahoo problem). Plus shto je flooding zashtita moguca u 2 linije. Naravno, sve to pre nego zahtev i stigne do bilo kog drugog servera na istoj ili drugoj mashini.

Verovatno je sve ovo moguce i sa iptables (bilo bi lepo da neko potvrdi), ali video sam dosta sluchajeva gde OpenBSD bez problema prezhivljava saobracaj koji ugushi, konkretno, Ubuntu server.

Ako imash mogucnosti, stavish jedan mali OpenBSD PF (mozhe i FreeBSD, jer je PF i tamo portovan, ali je OpenBSD mnogo "lakshi" i mozhe da se potera na veoma slabom hardveru) ispred svog web servera i uzhivash, ostavish Apache-u da radi ono chemu je namenjen.

Naravno, ostaje pitanje odrzhavanja, treba ti neko ko zna kako da namesti PF, k'o shto reche ranije
bNasty je offline   Odgovorite uz citat
Staro 04. 08. 2007.   #14
Peca
Super Moderator
Knowledge base
 
Datum učlanjenja: 02.10.2006
Lokacija: Niš
Poruke: 1.618
Hvala: 263
275 "Hvala" u 104 poruka
Peca će postati "faca" uskoroPeca će postati "faca" uskoroPeca će postati "faca" uskoro
Default

Citat:
Originalno napisao misk0 Pogledajte poruku
Druga mogucnost ti je mod_throttle za apache koji ima tonu nekih opcija a jedna od njih je i da blokira odredjene IPove prije nego sto apache otvori proces za njega, tj prije nego sto ga 'obradi'. Na taj nacin mozes smanjiti opterecenje na procesoru.
brate, sto throotle, zar nije logicnije iz kernela da im blokiras celu C klasu:
Kôd:
/sbin/iptables -I INPUT -s 74.6.65.0/24 -j DROP
/sbin/iptables -I INPUT -s 74.6.130.0/24 -j DROP
__________________
Vesti | MyCity | Igrice | Zaštita od virusa
Peca je offline   Odgovorite uz citat
Staro 04. 08. 2007.   #15
LiquidBrain
Milan Cvejic
Wrote a book
 
Avatar LiquidBrain
 
Datum učlanjenja: 05.09.2006
Lokacija: Beograd
Poruke: 1.241
Hvala: 32
73 "Hvala" u 56 poruka
LiquidBrain će postati "faca" uskoro
Pošaljite poruku preko Yahoo za LiquidBrain
Default

Da, taj rad, dropujesh paket, i posto on ceka response, usporish ga poprilicno...
__________________
http://weevify.com
LiquidBrain je offline   Odgovorite uz citat
Staro 04. 08. 2007.   #16
Peca
Super Moderator
Knowledge base
 
Datum učlanjenja: 02.10.2006
Lokacija: Niš
Poruke: 1.618
Hvala: 263
275 "Hvala" u 104 poruka
Peca će postati "faca" uskoroPeca će postati "faca" uskoroPeca će postati "faca" uskoro
Default

ma ne usporis ga vec ga totalno odseces, bar ako pricamo o ovoj liniji koju sam izneo.
ta linija skroz blokira sve zivo iz tog opsega.

ima neka fora da se ogranici maximalni broj syn paketa po sekundi... e to bi bilo usporavanje.
__________________
Vesti | MyCity | Igrice | Zaštita od virusa
Peca je offline   Odgovorite uz citat
Staro 05. 08. 2007.   #17
Peca
Super Moderator
Knowledge base
 
Datum učlanjenja: 02.10.2006
Lokacija: Niš
Poruke: 1.618
Hvala: 263
275 "Hvala" u 104 poruka
Peca će postati "faca" uskoroPeca će postati "faca" uskoroPeca će postati "faca" uskoro
Default

zaboravih da pitam:

Citat:
Originalno napisao bNasty Pogledajte poruku
Uz rizik da skrenem temu u tehnikalije (ili advocacy?) za takve ddos napade je OpenBSD + pf zakon; nikakvi mod_xxx, let the kernel do its stuff
kako ces http request-ove da filtriras sa pf, kada kroz jednu jedinu http konekciju moze da se shibne po 1000 request-ova ?
__________________
Vesti | MyCity | Igrice | Zaštita od virusa
Peca je offline   Odgovorite uz citat
Odgovori



Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
Kako da zaštitim CS server od ddos napada ziki Web Hosting, web serveri i operativni sistemi 12 22. 08. 2010. 15:53
DDoS redirekcija? LiquidBrain Web Hosting, web serveri i operativni sistemi 9 06. 08. 2008. 12:43
ddos napad bluesman Web Hosting, web serveri i operativni sistemi 75 07. 03. 2008. 12:55
DDOS napadi Dejan Bizinger Web Hosting, web serveri i operativni sistemi 32 10. 01. 2008. 13:54
Microsoft napada OpenSource MrSteel Opušteno 18 15. 05. 2007. 16:54


Vreme je GMT +2. Trenutno vreme je 01:05.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.