How to become an author
Search
Write a publication
Pull to refresh

Comments 55

UFO just landed and posted this here
В современном интернете — ЧПУ стандарт де-факто

На счет 444 — почему нагрузка меньше? Не все равно, что отдавать?
Total votes 8: ↑4 and ↓40
UFO just landed and posted this here
В мемориз, однозначно.
Total votes 6: ↑4 and ↓2+2
UFO just landed and posted this here
ну это всегда можно уточнить, стоит или нет.
This comment wasn’t rated yet0
Присоединяюсь к 444, сам хотел написать.
Грубо говоря, всё остальное — сервер оправдывается, почему он не можут дать конент (нет на сайте, ушло, запрещено).
А 444 — просто нет и всё. Т.е. сервер молчит, пользователя в игнор.
Total votes 3: ↑3 and ↓0+3
Скажите, а это правило разве не отключит вообще возможность передавать параметры GET-запросом? )
Total votes 5: ↑5 and ↓0+5
Можно же дописать только для определённой части сайта.
This comment wasn’t rated yet0
На момент атаки это меньше всего беспокоит. Когда боты попадут в лог и будут забанены — все вернется как и было.
Total votes 2: ↑2 and ↓0+2
Скажите, вот есть список ип ботов, как и чем лучше банить?
This comment wasn’t rated yet0
ipfw, пишете локальный скрипт на питоне или баше и вешаете его в крон, он будет парсить логи nginx`а и добавлять\удалять забаненные IP.
This comment wasn’t rated yet0
Зачем что-то писать, когда есть готовое? fail2ban к примеру.
This comment wasn’t rated yet0
UFO just landed and posted this here
Так… это… фейсбук вечно пытается пристроить свой параметр, гуглоаналитика тоже.
Total votes 2: ↑2 and ↓0+2
В 6ом друпале иногда нужны урлы с вопросом, даже когда включены урлы.

Алсо ЧПУ = Числовое программное управление. Долго курил как может быть с ним сервер.
Total votes 8: ↑5 and ↓3+2
UFO just landed and posted this here
бросай курить…
Total votes 11: ↑5 and ↓6-1
GET'ы нужны даже при наличии ЧПУ. Например для пагинаторов или поиска.
Total votes 3: ↑2 and ↓1+1
«Пагинаторы» Без проблем работают в Wordpress к примеру, Не вижу проблемы. А вот поиск — согласен. Хотя если отрубать аргументы только при атаке, то оправдано, так как не до поиска будет, а лишь бы выстоять.
This comment wasn’t rated yet0
Как будто кто-то мешает вести атаки на адреса типа /foo/bar/13245
Total votes 7: ↑6 and ↓1+5
Ботам невыгодно делать такое, т.к. при настроящем foo.php/foo/bar часто может выскакивать ошибка 404.
This comment wasn’t rated yet0
и что? почему это не выгодно?
This comment wasn’t rated yet0
Если папки /foo/bar/123 не существует, то посетители — зомби будут просить 404 страницы, которые не жрут много ресурсов, а значит не создадут высокой нагрузки. Особенно если во время атаки правильно подкрутить nginx. Это не на всех сайтах, но на многих.
Сравните две ссылки:
habrahabr.ru/foo/bar/123123/
habrahabr.ru/?=foobar=123123
Какая более нагружает сервер — очевидно.
This comment wasn’t rated yet0
Все пришедшие с контекстной рекламы тоже попадут под нож…
?from=google
?from=dir
и т.п.
Total votes 11: ↑11 and ↓0+11
могут. а могут и не попадать, если нож настраивать с учётом особенностей сайта
Total votes 2: ↑1 and ↓10
nginx поддерживает регулярки, так вот, чтобы не нароком не забанить валидных юзеров, лучше использовать регулярку которая выявляет рандомный URL.
Total votes 1: ↑1 and ↓0+1
Это очень просто: /^[random]+$/

Случайная строка «oandonrm» соответствует.
«hello world» — не соответствует.
Total votes 5: ↑5 and ↓0+5
А можно ли выделить список аргументов, которые должны пропускаться?
Если урлы преобразованы через htaccess c i.php?h=h.jpg -> /i/hjpg
эти урлы тоже будут резаться этим правилом?
Total votes 2: ↑1 and ↓10
Да, т.к. nginx работает до apache.
Такие преобразования стоит выкинуть, и статику (/i/h.jpg) отдавать nginx-ом. Но если у Вас много денег и 2 теребайта оперативной памяти, то необязательно.
This comment wasn’t rated yet0
вопрос не в статике был. Со статикой и так все ясно.
Вот другой пример:
index.php?page=news&num=2 -> /news/2/
This comment wasn’t rated yet0
Насколько я понимаю, данный метод добавления мусора эффективен когда на сервере кэшируются страницы по ключу URL. Таким образом, кэш очень быстро забивается и сайт падает.
Total votes 2: ↑2 and ↓0+2
Самое полезное в этой статье я узнал из коментов. Про код 444 =)
а обрезать всех кто с аргументами, это такая временная мера дабы главная страница работала несмотря на ддос.
Total votes 15: ↑15 and ↓0+15
Не впервый раз на хабре число светится)
Когдато помогло остановить небольшую толпу китайцев.
This comment wasn’t rated yet0
Парсите access_log-и и в случае необходимости на стороне nginx выдавайте captcha
This comment wasn’t rated yet0
При хорошей атаке канал будет забит этими капчами.
This comment wasn’t rated yet0
а как же отслеживание кампаний googe_analytics, контекстная реклама итп?
This comment wasn’t rated yet0
на момент ддос глубоко пофигу…
Total votes 2: ↑2 and ↓0+2
а после? боты-то могут никуда и не деться…
This comment wasn’t rated yet0
тип ботнета не новый.
рассчет атакующих понятен — пробить кэши.
бьется вполне просто и прозрачно стандартными приемами с анализом поведения.
This comment wasn’t rated yet0
Для меня был новый
~30k ботов успешно забанены, атаку остановил
Про 444 поправил, реально помогает
This comment wasn’t rated yet0
UFO just landed and posted this here
Какая-нибудь однодневка на ворпдрессе. А какой еще сайт может позволить себе обрубать аргументы?
Total votes 2: ↑1 and ↓10
UFO just landed and posted this here
>ЧПУ сейчас является стандартом де-факто

microformats.org/wiki/rest/urls — обратите внимание на эмуляцию методов PUT и DELETE в браузерах

Конечно, всё зависит от ресурса, но в некоторых случаях важнее, чтобы отправленный и дошедший до сервера клиентский запрос был обработан, пускай и ответа на него не будет.
This comment wasn’t rated yet0
надо бы ещё отделять внутренние подзапросы. они часто с "?".
This comment wasn’t rated yet0
Используйте регекспы. У меня был подобный ддос, лечил правилом
##
if ($query_string ~ "\w+\d+=\d+") {
access_log /opt/www/temp/log/nigerz;
return 444; break;
}
##
Total votes 1: ↑1 and ↓0+1
количество запросов на секунду не спасет?

limit_req_zone $binary_remote_addr zone=one:20m rate=5r/s;

Ваше решение выглядит — как из пушки по воробьям по моему…
Total votes 1: ↑0 and ↓1-1
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr