Вопрос по защите сервера от умышленной перенагрузки

[Spear]

Вопрос по защите сервера от умышленной перенагрузки

Всем привет,
прочитал тут http://webplanet.ru/news/security/2008/01/22/dirty_down.html

в кратце - Лепрозориум и Дёрти "положили" очень просто - делались запросы к скрипту, который генерирует капчу.

Подскажите пожалуйста - как лучше защитить себя от таких атак?

Например, совершенно реальная ситауция - на странице регистрации можно обновлять капчу. Капча не простая, а злотопишет код проверки в бд. В общем для обновления капчи едлается 2 запроса в БД - удаляется старый код, генерируется и записывается в БД новый. Не думаю что злоумышленнику будет сложно попытаться "поиметь" сервер через капчу.

От сюда вопрос - кто как посоветует оградить себя от таких "спамерских" запросов?

 

[Pigmeich]

Spear
использовать nginx, например.

 

[fixxxer]

толку то с него, если капчи динамические и еще бд трахают =)

по умному делать надо потому что. если речь о капчах, то можно их в статику предварительно кроном генерить, например. ну и конечно бд не трогать никоим образом - сессий достаточно.
хотя если капчей положили, то как то там совсем через задницу видать сделано.

если вопрос вообще о защите от ДДОС, то это слишком обширная тема и универсального решения на все случаи жизни не существует

 

[Spear]

возможно есть готовые решения или хотя бы рекоммендации по защите от ДДОС именно на уровне РНР? хотя бы от самых ламерских

 

[fixxxer]

ну самый простой - на основе фс или статического кэша в памяти составлять статистику по кол-ву запросов с айпи адреса и при превышении блокировать через sudo скрипт на уровне фаервола (iptables/ipfw/что там в твоей ос)

 

[Bakti9rov]

использовать nginx, например.

Хабра на nginx, и что - валяется с 500-й ошибкой (или это только у меня так?)...

 

[fixxxer]

кто-то явно обиделся на футурико

 

[stalesha]

Как вариант (в случае DoS атак) было предложено решение на web-hack.ru. Точный текст уже не помню, но было примерно следующее содержание
"Поскольку Дос атаки занятия не из дешевых, то рекомендую переслать нам деньги потраченные на их реализацию, а мы со отключим сервер на требуемое количество дней"

 

[kruglov]

Не такие уж они и дорогие. Сайт на непоказанной рекламе потеряет больше, чем дос-атака стоит.

 

[holybg]

все с лепры начали работать, а не нажимать ф5

 

[StUV]

от мощного ддоса отдельно взятый сервер спасает только его отключение =)

 

[Stalone]

так какие есть варианты? поставить много серверов?

 

[StUV]

так какие есть варианты? поставить много серверов?

как было сказано - способов много
этот один из них

 

[stalesha]

ну основные рекомендации:
вести умную политику контроля доступа
держать резервные сервера, на случай падения основного
максимально оптимизировать работу узких мест

 

[WP]

Способов защиты от DDoS - несколько, лучше всего - поставить сервера в разных странах и включить динамические DNS. И собрать ботнет с помощью которого отбивать серьезные атаки, но этот способ относительно дорогой, и не всем доступен. Если такой возможности нет, то, от детских атак можно защититься на уровне файрвалла и фильтрации на аплинке, подмене резолва.

 

[kruglov]

От DoS можно защищаться скриптами, от грамотного DDoS - нет.

 

[Stalone]

WP
интересный вариант. а что за ботнет? типа сам себе провайдер?

 

[WP]

Stalone
Ботнет это сеть подконтрольных компьютеров, их применяют для DDoS. Можно ботнет натравить на лидеров атаки.

-~{}~ 23.01.08 21:28:

А зачем тебе это всё понадобилось?

 

[FractalizeR]

Кстати, в PEAR есть HTTP_FloodControl для защиты от флуда.

 

[Stalone]

WP
мне? тему не я создал, но мне она интересна т.к. я думаю любой большой проект неизбежно будут мучить