🧖🏼 🤹🏽 🏈 क्लासिक HTTP DDoS से बचाव का एक सरल तरीका 🌮 👨🏾‍🏫 🧦

यह समाधान आपको किसी भी बॉट की गणना करने की अनुमति देता है, इसके अपवाद के साथ जो ब्राउज़र के संचालन की पूरी तरह से नकल करते हैं।

यह कैसे काम करता है

बॉट पेज का अनुरोध करता है, उदाहरण के लिए habrahabr.ru/search । बॉट को पता नहीं है कि पेज के साथ छवियों, लिपियों, सीएसएस, आदि को कैसे लोड किया जाए। इसका मतलब है कि लॉग / और में प्रदर्शित / खोज / करने का अनुरोध प्रदर्शित होगा।
यदि कोई जीवित व्यक्ति किसी ब्राउज़र के माध्यम से habrahabr.ru/search में प्रवेश करता है, तो / खोज / बहुत सारे चित्र, स्क्रिप्ट, सीएसएस, आदि के साथ लॉग में मिलेगा।

समायोजन

mysql

/etc/my.cnf

[mysqld] local-infile=1 # load data #    : max_heap_table_size=1024M tmp_table_size=1024M

मूल के तहत:

 UPDATE `mysql`.`user` SET `File_priv` = 'Y' WHERE `user`.`Host` = 'localhost' AND `user`.`User` = '__'; flush privileges;

sysctl

टिप्पणी के साथ sysctl.conf विस्तार (लिनक्स)

राम ड्राइव

नगीन लॉग के साथ काम को गति देने के लिए राम ड्राइव की आवश्यकता होती है।
फ़ाइल / etc / fstab में जोड़ें

 tmpfs /var/log/ram_disk tmpfs size=1024m 0 0

तो

 mkdir /var/log/ram_disk mount -t tmpfs -o size=1024m tmpfs /var/log/ram_disk

एल्गोरिथ्म

1. ट्रैप चयन

जब आप स्पीकर के किसी भी पृष्ठ को कॉल करते हैं, तो हम साइट पर किसी भी स्थिर और विनीत फ़ाइल (चित्र, css, js, आदि) को ले जाते हैं, उदाहरण के लिए habrahabr.ru/styles/fontello/css/habr.css
इस फ़ाइल को गैर-परिवर्तनीय बनाया जाना चाहिए, अर्थात <? php echo '/styles/fontello/css/habr.css?? रैंड (99999999)?> जैसे यादृच्छिक पैरामीटर जोड़ें।
संदर्भ के लिए, डिफ़ॉल्ट रूप से, ओपेरा 1 मिनट के लिए स्थानीय कैश में चित्र डालता है, 5 मिनट के लिए सीएसएस / जेएस।

2. हम nginx कॉन्फिगर को सही करते हैं

 #      log_format ddos_log '$remote_addr\t$msec\t$status'; #   location =/styles/1347283218/highlight.css { access_log /var/log/ram_disk/hook_access.log ddos_log; } #    location ~* ^.+\.(class|htc|bmp|cur|jpg|jpeg|gif|png|svg|xls|doc|xhtml|js|css|mp3|ogg|mpe?g|avi|flv|zip|gz|bz2?|rar|ico|txt|jar|swf)$ { access_log off; } #  location / { access_log /var/log/ram_disk/dynamic_access.log ddos_log; }

3. लॉग के लिए टेबल बनाएं

इंजन = मेमोरी - इसे तेज बनाने के लिए।

 CREATE TABLE `dinamic_log` ( `inc` bigint(20) NOT NULL AUTO_INCREMENT, `remote_addr` varchar(20) NOT NULL DEFAULT '0', `time_local` int(20) NOT NULL DEFAULT '0', `status` int(4) NOT NULL DEFAULT '0', PRIMARY KEY (`inc`), KEY `remote_addr` (`remote_addr`), KEY `time_local` (`time_local`) ) ENGINE=MEMORY AUTO_INCREMENT=1 DEFAULT CHARSET=latin1

 CREATE TABLE `hook_log` ( `inc` bigint(20) NOT NULL AUTO_INCREMENT, `remote_addr` varchar(20) NOT NULL DEFAULT '0', `time_local` int(20) NOT NULL DEFAULT '0', `status` int(4) NOT NULL DEFAULT '0', PRIMARY KEY (`inc`), KEY `remote_addr` (`remote_addr`), KEY `time_local` (`time_local`) ) ENGINE=MEMORY AUTO_INCREMENT=1 DEFAULT CHARSET=latin1

वह तालिका जहाँ हम खोज बॉट्स का आईपी डालते हैं

 CREATE TABLE `white` ( `remote_addr` bigint(20) NOT NULL, PRIMARY KEY (`remote_addr`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1

टेबल लॉक की गई

 CREATE TABLE `black` ( `remote_addr` bigint(20) NOT NULL, `time_local` int(20) NOT NULL DEFAULT '0', PRIMARY KEY (`remote_addr`), KEY `time_local` (`time_local`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1

4. मुख्य लिपि

समझने में आसानी के लिए, यह php में लिखा गया है, जैसा कि इस भाषा को लगभग हर कोई जानता है। और त्रुटि से निपटने को आसानी से हटा दिया जाता है - समझने में आसानी के लिए।

 //    $dinamic_log = $argv[1]; //    $hook_log = $argv[2]; // -     ,    . $r_stop = $argv[3]; //      (   ) $load_time = $argv[4]; //         $wait_sec = $argv[5]; function load_log($log, $table) { $tmp = '/var/log/ram_disk/tmp_ddos_file'; //      copy ($log, $tmp); //   file_put_contents($log, "", LOCK_EX); //     mysql_query('LOAD DATA CONCURRENT INFILE "'.$tmp.'" IGNORE INTO TABLE '.$table.' FIELDS TERMINATED BY \'\t\' (`remote_addr`, `time_local`, `status`) SET `remote_addr` = INET_ATON(`remote_addr`)'); //    unlink($tmp); } //     while (true) { //    load_log($dinamic_log, 'dinamic_log'); //    load_log($hook_log, 'hook_log'); //  . nginx    $status,  200  304  . $res = mysql_query('SELECT dinamic_log.remote_addr FROM `dinamic_log` WHERE (`status` = 200 OR `status` = 304) AND`remote_addr` NOT IN (SELECT `remote_addr` FROM `hook_log`) AND`remote_addr` NOT IN (SELECT `remote_addr` FROM `white`) GROUP BY `remote_addr` HAVING count(inc)>'.$r_stop); while ($row = mysql_fetch_array($res)) { //   ip mysql_query('INSERT INTO black(`remote_addr`) VALUES ('.$row['remote_addr'].')'); //  ip switch (PHP_OS) { case "FreeBSD": system('/sbin/route add -host '.$row['remote_addr'].' 127.0.0.1 -blackhole'); break; case "Linux": system('/sbin/ip route add blackhole '.long2ip($row['remote_addr'])); break; } } //      mysql_query('DELETE FROM `log` WHERE `time_local` < (UNIX_TIMESTAMP() - '.$load_time.')'); //  sleep($wait_sec); }

हम लॉन्च करते हैं:

 php ddoshook.php /var/log/ram_disk/dynamic_access.log /var/log/ram_disk/hook_access.log 5 300 3

5. अनबन

 $block_time = $argv[1]; //     ip. $res = mysql_query('SELECT `remote_addr` FROM black WHERE time_local < (UNIX_TIMESTAMP() - '.$block_time.')'); while ($row = mysql_fetch_array($res)) { //  ip switch (PHP_OS) { case "FreeBSD": system('/sbin/route delete '.$row['remote_addr']); break; case "Linux": system('/sbin/ip route delete '.long2ip($row['remote_addr'])); break; } }

हम ताज में रखते हैं

 * * * * * /usr/bin/php unban.php 86400

बस, बॉट्स पर प्रतिबंध है, लोगों को छोड़ दिया जाता है।

निम्नलिखित मुद्दों में:

सर्वर और चैनल क्षमताओं की सीमा के भीतर सिंक / udp / icmp बाढ़ का सामना कैसे करें।
उपयोगकर्ता एजेंटों पर ध्यान न देते हुए, खोज बॉट की सही पहचान कैसे करें।
7 तरीके जो 1000 से अधिक http ddos हमलों से लड़ने में मदद करते हैं।
केवल $ 5 का भुगतान करके ddos हमलों के खिलाफ पेशेवर सुरक्षा कैसे प्राप्त करें।

upd

खोज बॉट का आईपी कैसे खोजें?

हम वांछित खोज इंजन के लिए एएस की तलाश कर रहे हैं, उदाहरण के लिए यहां: bgp.potaroo.net/cidr/autnums.html
AS के लिए IP पते प्राप्त करना: stat.ripe.net/data/annulate-prefixes/data.json?resource=AS15169

एएस और आईपी सूचियों को लगातार अद्यतन करने की आवश्यकता है।

अपडेट 2

OS: FreeBSD 8.3
CPU: E5-2620 2.00GHz

परीक्षण 1

पंक्तियाँ (dinamic_log): 100,000 (100,000 HTTP-अनुरोध साइट की गतिशीलता के लिए 3 सेकंड में)
पंक्तियाँ (हुक_लॉग): 1000 (3 सेकंड में उपयोगकर्ताओं से 1000 वैध अनुरोध)

# php /root/scripts/php/imgtest/ddos_hook.php/tmp/d20.log/tmp/h20.log 5 300 3
लोड डेटा का समय समाप्त हो गया: 0.29 सेकंड।
लोड डेटा का समय समाप्त हो गया: 0.003 सेकंड।
चयनित समय बीत गया: 0.017 सेकंड।
पंक्तियाँ (प्रतिबंध): १ 1800००
पूर्ण पुटी समय बीत गया: 0.313 सेकंड।

परीक्षण २

पंक्तियाँ (dinamic_log): 1,000,000 (3 सेकंड में साइट की गतिशीलता के लिए 1 मिलियन http-request)
पंक्तियाँ (हुक_लॉग): 10,000 (3 सेकंड में उपयोगकर्ताओं से 10,000 वैध अनुरोध)

# php /root/scripts/php/imgtest/ddos_hook.php/tmp/d2.log/tmp/h2.log 5 300 3
लोड डेटा का समय समाप्त हो गया: 2.878 सेकंड।
लोड डेटा का समय समाप्त हो गया: 0.023 सेकंड।
चयनित समय बीत गया: 0.501 सेकंड।
पंक्तियाँ (प्रतिबंध): 12402
पूर्ण पुटी समय बीत गया: 3.54 सेकंड।

पुनश्च
लेख में वर्णित समाधान प्रयोगात्मक है। अपने जोखिम पर उपयोग करें

क्लासिक HTTP DDoS से बचाव का एक सरल तरीका