Skocz do zawartości


 

Zdjęcie

Atak DDoS? Dedyk, mysql, cloudflare

Atak DDoS? Dedyk, mysql, cloudflare ddos mysql cloudflare atak ddos

  • Proszę się zalogować aby odpowiedzieć
1 odpowiedzi na ten temat

Atak DDoS? Dedyk, mysql, cloudflare

#1 ZdobywajNagrody.pl

ZdobywajNagrody.pl

    Nowy użytkownik

  • Użytkownicy
  • 8 postów

Napisany 22 październik 2017 - 18:44

Siemka,
Borykam się ostatnio z atakami DDoS (tak sądzę) poniżej więcej informacji - może ktoś poradzi czemu te zabezpieczenia nie działają? :D
 
1. Na domenie jest zainstalowany CloudFlare (darmowe)
2. Serwer = nginx + apache
3. Jak nie ma ataków to nawet przy 2000 ludzi online obciążenie serwera jest w granicach 1.00-2.00
4. Jak zaczynają się ataki to wzrasta nawet do 300.00 (nawet przy np. 100 osobach online także to nie jest przez ilość osób) i jest wtedy około 2500 procesów (większość niby mysql)
5. Skąd wiem, że to akurat atak skierowany tylko na tę konkretną domenę, a nie np. jakąś inną domenę/lukę na tym serwerze? Bo jak wyłączę dostęp do tej konkretnej domeny to nagle obciążenie znika ;)
6. Wiedząc, że to ta konkretna domena jest wektorem ataku, gdzie najbardziej bombardowany jest mysql to wszystkie pliki gdzie są jakiekolwiek zapytania do bazy danych edytowałem i przed zapytaniami najpierw potworzyłem zmienne sesji typu if(time() - $_SESSION['zmienna'] <=1) { die(); } także teoretycznie powinno blokować wszystkich, którzy cokolwiek robią na stronie częściej niż co sekundę
7. Dodałem slow_query_log do my.cnf (mysql) ale nie ma dłuższych zapytań niż sekunda i są w znikomej ilości nawet podczas ataku
8. Porobiłem nawet jeszcze jakieś inne blokady na większą częstotliwość IP itd. w firewall CSF
 
9. NIC Z TYCH RZECZY NIE POMOGŁO!! Jakieś pomysły? bo mi już ręce opadają... dziwi mnie to, że mimo zabezpieczeń na samych SESJACH przed wykonaniem jakichkolwiek zapytań do mysqla i przy włączonym CloudFlare (opcja "i'm under attack") wciąż gnojki atakują pełnym impetem...
 
Macie tutaj screen (https://imgur.com/a/zBvlZ) z aktualnego obciążenia podczas ataku :) pół dnia już to robią... jak przestają to wiadomo jest wszystko git i obciążenie max 2....

 


Edytowany przez ZdobywajNagrody.pl, 22 październik 2017 - 18:58.

  • 0

#2 pgs

pgs

    Nowy użytkownik

  • Nowy
  • 1 postów

Napisany 23 październik 2017 - 16:48

1) CloudfFlare w wersji darmowej nie da Tobie jakiejkolwiek ochrony (poza próbą ukrycia IP)

 

2) Czemu oba? Sam nginx lub apache nie wystarczy ?

 

3) Co rozumiesz "przy 2000 ludzi online" ... ważne jest RPS - szczególnie na content dynamiczny

 

4) Jakie jest dokładnie źródło ? Co mówią logi nginx/apache? Jakie IP generują ten ruch ? ... "2500 procesów (większość niby mysql)" - problem jest po stronie mysql

 

5) Nie ma ruchu, nie ma obciążenia.

 

6) Nie blokujesz "wszystkich", a tylko zwykłych userów, którzy bardziej intensywnie klikają

 

7) 1 sekunda na zapytanie to naprawdę długo ... loguj zapytania które nie używają indeksów

 

Sprawdź lepiej logi, czy te "gnojki" to nie jest przypadkiem GoogleBot lub inny indeksujący silnik. Ewidentnie widać, że wąskim gardłem jest MySQL, który prawdopodobnie jest w domyślnej konfiguracji pod względem ilości połączeń, bufforów, cache.

 

 


Edytowany przez pgs, 23 październik 2017 - 16:53.

  • 0






Także otagowane jednym lub więcej z tych słów kluczowych: ddos, mysql, cloudflare, atak ddos

0 użytkowników czyta ten temat

0 użytkowników, 0 gości, 0 anonimowych użytkowników