Настройка Nginx для отражения небольших ddos атак

Nginx – веб сервер предназначенный для работы на высоконагруженных серверах. Ddos атака как раз и является той нагрузкой с которой этот web сервер может вполне удачно справится. Решения которые предоставляет Antiddos.org построены на кластерах под управлением FreeBSD и веб сервера Nginx. Мы провели очень много экспериментов по реакции nginx под нагрузкой и пришли к мнению что он является правильным выбором для работы на серверах которые подвергаются ddos атакам. Ниже привожу основные настройки данного сервера чтобы обеспечить минимальную защиту от DDOS.
FreeBSD, сетевая Intel fxp, порт 100Мбит, polling, http accept-filter
в sysctl

в nginx моменты

фильтрацию url например по критерию POST index.php?action=login с пустым реферером можно реализовать так

Дальше резали на уровне pf – загружали в таблицу IP с которых приходило слишком много хитов. PF с таблицами работает очень быстро. Исходники парсера логов есть на http://www.comsys.com.ua/files.

ну и по крону уже раз в минуту добавлять в ip table новые ip из лога 25М-битный DDoS, преимущесвенно режущийся ip, остатки проходят на nginx, который по критерию обучает ip и остатки проксирует на апач – LA 0, сайт работает.
взято с wiz.su

Рейтинг материала
[Голосов: 0 Рейтинг: 0]
19 декабря 2013, 16:00

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *