1. Введение
Тема DDoS атак “сетевого” уровня (L4 и ниже) заезжена и раскрыта. Обычно эти атаки такой мощности, что справиться с ними server-side невозможно — они забивают канал на 100%.
Но есть атаки, которые влезают в канал и наносят не меньший урон. Это DDoS атаки на приложение, http flood. В случае атак на приложение сайт/сервер обычно ложится значительно раньше, чем будет забит канал. Такая атака тоже может забить канал, например, с помощью worpress xml rpc amplification (https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html). В этом случае меры борьбы такие же, как с атаками сетевого уровня.
Даже если вы используете сервис, который вас проксированием защищает от DDoS, этот материал будет полезен — сервисы часто пропускают флуд в количествах, достаточных чтобы вы испытывали трудности.
Далее - http://junior.highload.ru/2016/abstracts/2058.html
4. Ничего не работает
Почему не работает?
Как быстро прикинуть в чем проблема?
● На сервере
● Мониторинг
5. Ничего не работает
Почему не работает?
Как быстро прикинуть в чем проблема?
● На сервере
● Мониторинг
Точно DDoS?
6. Ничего не работает
Почему не работает?
Как быстро прикинуть в чем проблема?
● На сервере
● Мониторинг
Точно DDoS?
● Хабраэффект
7. Ничего не работает
Почему не работает?
Как быстро прикинуть в чем проблема?
● На сервере
● Мониторинг
Точно DDoS?
● Хабраэффект
● Неудачное обновление
42. Ключ кэша (упрощенный пример)
DDoS запросами вида “POST /?randomstring”
proxy_cache_methods POST # НЕ КЭШИРУЕМ GET
proxy_cache_key "1|$host|$uri|$request_body" # используем не $request_uri
(с аргументами), а $uri – без аргументов