Skocz do zawartości
ZdobywajNagrody.pl

Atak DDoS? Dedyk, mysql, cloudflare

Polecane posty

Siemka,
Borykam się ostatnio z atakami DDoS (tak sądzę) poniżej więcej informacji - może ktoś poradzi czemu te zabezpieczenia nie działają? :D
1. Na domenie jest zainstalowany CloudFlare (darmowe)
2. Serwer = nginx + apache
3. Jak nie ma ataków to nawet przy 2000 ludzi online obciążenie serwera jest w granicach 1.00-2.00
4. Jak zaczynają się ataki to wzrasta nawet do 300.00 (nawet przy np. 100 osobach online także to nie jest przez ilość osób) i jest wtedy około 2500 procesów (większość niby mysql)
5. Skąd wiem, że to akurat atak skierowany tylko na tę konkretną domenę, a nie np. jakąś inną domenę/lukę na tym serwerze? Bo jak wyłączę dostęp do tej konkretnej domeny to nagle obciążenie znika ;)
6. Wiedząc, że to ta konkretna domena jest wektorem ataku, gdzie najbardziej bombardowany jest mysql to wszystkie pliki gdzie są jakiekolwiek zapytania do bazy danych edytowałem i przed zapytaniami najpierw potworzyłem zmienne sesji typu if(time() - $_SESSION['zmienna'] <=1) { die(); } także teoretycznie powinno blokować wszystkich, którzy cokolwiek robią na stronie częściej niż co sekundę
7. Dodałem slow_query_log do my.cnf (mysql) ale nie ma dłuższych zapytań niż sekunda i są w znikomej ilości nawet podczas ataku
8. Porobiłem nawet jeszcze jakieś inne blokady na większą częstotliwość IP itd. w firewall CSF
9. NIC Z TYCH RZECZY NIE POMOGŁO!! Jakieś pomysły? bo mi już ręce opadają... dziwi mnie to, że mimo zabezpieczeń na samych SESJACH przed wykonaniem jakichkolwiek zapytań do mysqla i przy włączonym CloudFlare (opcja "i'm under attack") wciąż gnojki atakują pełnym impetem...
Macie tutaj screen (https://imgur.com/a/zBvlZ) z aktualnego obciążenia podczas ataku :) pół dnia już to robią... jak przestają to wiadomo jest wszystko git i obciążenie max 2....

 

Edytowano przez ZdobywajNagrody.pl (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

1) CloudfFlare w wersji darmowej nie da Tobie jakiejkolwiek ochrony (poza próbą ukrycia IP)

 

2) Czemu oba? Sam nginx lub apache nie wystarczy ?

 

3) Co rozumiesz "przy 2000 ludzi online" ... ważne jest RPS - szczególnie na content dynamiczny

 

4) Jakie jest dokładnie źródło ? Co mówią logi nginx/apache? Jakie IP generują ten ruch ? ... "2500 procesów (większość niby mysql)" - problem jest po stronie mysql

 

5) Nie ma ruchu, nie ma obciążenia.

 

6) Nie blokujesz "wszystkich", a tylko zwykłych userów, którzy bardziej intensywnie klikają

 

7) 1 sekunda na zapytanie to naprawdę długo ... loguj zapytania które nie używają indeksów

 

Sprawdź lepiej logi, czy te "gnojki" to nie jest przypadkiem GoogleBot lub inny indeksujący silnik. Ewidentnie widać, że wąskim gardłem jest MySQL, który prawdopodobnie jest w domyślnej konfiguracji pod względem ilości połączeń, bufforów, cache.

 

 

Edytowano przez pgs (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

My używamy Grey Wizard od pół roku na naszej stronie i jesteśmy bardzo zadowoleni. Wcześniej korzystaliśmy z pakietu business w Cloudlare, ale w ogóle się nie sprawdził. Co prawda nam zależało głownie na ochronie warstwy aplikacji. Cloudflare ma taką bardzo prostą ochronę i nie zawsze jest w stanie chyba ogarnąć jakieś bardziej zaawansowane ataki. Grey robi to dobrze.

 

Jeżeli chodzi o DDoSy to też przeżyliśmy parę z Greyem i nie było żadnych problemów. Generalnie bardzo polecam. Możesz tam chyba ich poprosić o wesję demo na 2tyg czy coś jak napiszesz maila.

 

Powodzenia

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×