Apache предотвращение DDOS
Файлы базы данных SQL Server не уменьшаются автоматически, если Вы не говорите им. (И я не рекомендовал бы это, так как Вы получите большую дисковую фрагментацию от повторного роста/уменьшения.), Другими словами, узнайте, как большой Вашему tempdb нравится быть и планировать это. Установка его файлов данных для начинаний хороший и большой (так как это воссоздается с нуля, когда SQL Server запускается) обычно является рекомендуемым подходом.
нет, POST никогда не является медленной атакой; если тогда, RUDY - атака (вы еще мертвы ?; погуглите, если вы не знаете). распределенный однопоточный slowloris / rudy не имеет смысла и IIRC, вы не увидите slowloris / rudy в журналах, потому что запрос никогда не будет завершен (в этом суть таких атак); это больше похоже на атаку методом перебора; есть что-нибудь для входа в /?
ваш apache горит при получении 1 запроса в секунду? похоже, вам следует еще немного настроить свою установку.
Есть ли способы настроить Apache, чтобы предотвратить это?
apache> = 2.2.16 больше не уязвим для slowloris (не знаю о руди), но если вы хотите справиться с такими вещами наверняка: mod_antiloris существует для apache,
, если вы хотите создать надежное смягчение:
Предостережение: потенциально полезно для «Установки только на одном сервере», если у вас есть что-то более сложное, вам понадобится более сложное решение.
Я использую функциональность iptables LIMIT .. не заботиться о том, что они пытаются грубой силой, замедляет их, но оставляет всех остальных работать нормально. ; -)
IE: Сотни неудачных попыток входа в систему по ssh
Это часть моего сценария брандмауэра bash (в конце он сохраняется в iptables-save, где $ IPT ранее определен как / sbin / iptables)
echo "HTTP/S hash-based-limiting"
$IPT -N LIMIT
$IPT -A LIMIT -j LOG --log-prefix "IPTABLES LIMIT: "
$IPT -A LIMIT -m recent --set --name attacks -j DROP
$IPT -A INPUT -m recent --update --seconds 180 --name attacks -j DROP
$IPT -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 50/second --limit-burst 50 -j ACCEPT
$IPT -A INPUT -m hashlimit --hashlimit-srcmask 32 --hashlimit-mode srcip -p tcp -m state --state NEW --hashlimit-above 10/minute --hashlimit-burst 15 --hashlimit-name webflood --dport 80 -j LIMIT
$IPT -A INPUT -m hashlimit --hashlimit-srcmask 32 --hashlimit-mode srcip -p tcp -m state --state NEW --hashlimit-above 10/minute --hashlimit-burst 15 --hashlimit-name webflood --dport 443 -j LIMIT
В принципе, ни один человек не будет делать больше запросов, поэтому он только блокирует ботов, он не останавливает их, он просто формирует их, вы, конечно, можете просто изменить цепочку конечных точек на DROP вместо LIMIT. Настройте значения, чтобы они соответствовали вашему серверу.
Не забывайте:
/sbin/modprobe ip_conntrack
echo "Enabling syncookies protection"
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
I ' Очевидно, он реализовал различные защиты от флуда для служебных портов, 20:22 и этих веб-портов ... любой пользователь моей системы deny-hosts будет добавлен в полный черный список на основе iptables и другие вещи. Пока все работает неплохо.
Если пользователи «останавливают» сервер лавинной рассылки, они автоматически освобождаются через 180 секунд, так что это не требует значительного обслуживания, а LIMIT-соединения отображаются в отчетах logwatch.
Я бы разрешил ваши локальные серверы или пользователей перед этим в качестве резервных копий, и это иногда будет ограничивать их ... особенно интенсивное использование SOAP!