избегайте людей, выполняющих “стресс-тесты” / нападения на наш сервер (CentOS + Apache)
Я подозреваю Семинар, Alex делал попытку юмора, но пропустил цель. Тем не менее, существует некоторая истина в том, что он сказал. Верхние этажи обычно считают главной недвижимостью. Подвал является большим количеством зоны инженерного обеспечения. К моему образу мыслей серверная должна быть прагматиком. Этому не должно также быть нужно человеческое присутствие очень часто (если этим хорошо управляют). Почему бы не помещать его в подвал и использование верхние этажи для людей? С чисто практической точки зрения существует, вероятно, равное количество за и против. Если бы у меня был свой выбор, то серверная была бы на первом этаже, просто потому что мне не нравится иметь необходимость переместить тяжелый механизм дальше, чем я имею к.
IPTables может ограничить количество соединений в секунду на хост источника. xinetd также имеет схожую функциональность; но я не думаю, что стоит выполнить его перед Apache. Конечно, DDos-атака пошла бы мимо того ограничения (это - первый 'D'). В той точке syncookies и некоторых основанных на маршрутизаторе пределах помешает Вашему полю отказывать, но сервис пострадает так или иначе.
Можно использовать recent модуль с iptables для блокирования запросов, которые входят к быстро от определенного IP. Вот статья с некоторыми примерами. При вхождении в большее количество DoS-атак, которые сокрушают пропускную способность затем, Вы, возможно, должны были бы включить ISP, когда это происходит. Общей темой, которую Вы хотите исследовать, являются нападения Отказа в обслуживании (DoS).
Требуется 6 четырехъядерных xeon, работающих ab против одного из наших главных узлов кэша Лака, прежде чем наша сеть будет насыщаться. Лак, кажется, не имеет никакой проблемы. Мы могли обновить нашу машину Лака до 10-граммового соединения и продвинуть больше машин в ней, но, какой смысл?
Если один экземпляр ab сокрушителен Ваш сервер, Вы могли бы хотеть проанализировать свое веб-приложение/стек. ab тестирует только одну страницу, которая действительно должна быть одной из самых легких вещей в мире для любого веб-приложения для обработки.
Что происходит, когда Вы получаете эквивалентную сумму реального трафика, что имитатор тест ab, который сокрушил Ваш сервер?