Mais conteúdo relacionado
Semelhante a DDoS: Survival Guide (20)
DDoS: Survival Guide
- 11. HTTP Flood.Frontend Минимизируемразмерыбуферов large_client_header_buffers client_header_buffer_size client_body_buffer_size client_max_body_size Минимизируеможиданиеклиента reset_timedout_connection on; client_header_timeout client_body_timeout keepalive_timeout send_timeout
- 12. HTTP Flood.Frontend Иожидаемпопавшихсяботовна default vhost server { listen 80; server_name noname; return 444; } Ограничиваемколичествоодновременныхсоединенийсодногоip limit_zoneconlim $binary_remote_addrXXm; limit_connconlim XX;
- 14. HTTP Flood.Отфильтровать в один запрос log_format $http_accept $http_accept_language $http_accept_encoding; + grep --line-buffered = tail -f /var/log/nginx/myserver.access_log | br />grep --line-buffered br />-F '*/* en-us -' | br />grep --line-buffered -oE "OINK [0-9]{1,3}[0-9]{1,3}[0-9]{1,3}[0-9]{1,3} " | sed -u "s/^BOINK//" | xargs -n1 ipset -A myserv ивариациинатемуизmyserv.error_logпоключевомуслову limiting
- 23. Conntrack abuse ip_conntrack: table full, dropping packet ? Conntrackхранитсоединениявhashtableинебесплатен. Прибольшихразмерахтаблицыможно: net.ipv4.netfilter.ip_conntrack_tcp_timeout_* нопрощевыключить: iptables -t RAW -A PREROUTING -d$PUBLISHED_IP -j NOTRACK iptables -t RAW -A OUTPUT -d$PUBLISHED_IP -jNOTRACK
- 25. SYN Flood syn-cookies! net.ipv4.tcp_syncookies = 1