🚜 🕣 🏀 DDoS हमलों पर तेजी से प्रतिक्रिया 👨🏿‍🤝‍👨🏼 🧕🏾 🚱

जिन संसाधनों को मैं देख रहा हूं उनमें से एक, अचानक अच्छे उपयोगकर्ताओं और बुरे लोगों दोनों के साथ अप्रत्याशित रूप से लोकप्रिय हो गया। शक्तिशाली, सामान्य रूप से, लोहे को लोड का सामना करना पड़ता है। सर्वर पर सॉफ्टवेयर सबसे आम है - लिनक्स, नग्नेक्स, PHP-FPM (+ APC), MySQL, संस्करण सबसे हाल के हैं। साइट्स Drupal और phpBB को स्पिन करती हैं। सॉफ्टवेयर स्तर पर अनुकूलन (मेमेकैच्ड, डेटाबेस में अनुक्रमणिका जहां वे गायब थे) ने थोड़ी मदद की, लेकिन मौलिक रूप से समस्या का समाधान नहीं हुआ। और समस्या स्टैटिक्स, डायनामिक्स और विशेष रूप से आधार के लिए बड़ी संख्या में प्रश्न हैं। Nginx में निम्नलिखित सीमाएँ निर्धारित करें:

कनेक्शन पर

limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn perip 100;

और गतिशीलता के लिए अनुरोधों की गति (phpgi -pass पर php-fpm)

 limit_req_zone $binary_remote_addr zone=dynamic:10m rate=2r/s; limit_req zone=dynamic burst=10 nodelay;

यह बहुत आसान है, लॉग के अनुसार यह स्पष्ट है कि कोई भी पहले क्षेत्र में नहीं जाता है, लेकिन दूसरा इसे पूरा करता है।

लेकिन बुरे लोग झांकना जारी रखते थे, और मैं उन्हें पहले छोड़ना चाहता था - फ़ायरवॉल स्तर पर, और लंबे समय तक।

सबसे पहले उन्होंने खुद लॉग्स को पार्स किया, और विशेष रूप से परेशान करने वालों को स्नानघर के माध्यम से जोड़ा। फिर हर 5 मिनट में पार्सल पहले से ही ताज पर है। नाकाम रहने की कोशिश की २। जब मुझे महसूस हुआ कि बहुत सारे बुरे लोग हैं, तो मैंने उन्हें ipset ip हैश में स्थानांतरित कर दिया।

लगभग सब कुछ अच्छा हो गया, लेकिन अप्रिय क्षण हैं:
- पार्सिंग / सॉर्टिंग लॉग भी एक सभ्य (प्रोसेसर) समय लेता है
- सर्वर बेवकूफ है अगर पड़ोसी disassemblies (लॉग) के बीच एक नई लहर शुरू हो गई है

यह पता लगाना आवश्यक था कि काली सूची में उल्लंघनकर्ताओं को जल्दी से कैसे जोड़ा जाए। पहले Nginx + डेमन को एक मॉड्यूल लिखने / जोड़ने का विचार था जो कि ipsets को अपडेट करेगा। यह एक दानव के बिना संभव है, लेकिन फिर आपको नंगेक्स को जड़ से चलाना होगा, जो सुंदर नहीं है। यह लिखना वास्तविक है, लेकिन मैंने महसूस किया कि इतना समय नहीं है। मुझे ऐसा कुछ नहीं मिला (शायद मैं बुरी तरह से देख रहा था?), और इस तरह के एक एल्गोरिथ्म के साथ आया था।

जब सीमा पार हो जाती है, तो Nginx 503 वीं सेवा अस्थायी रूप से अनुपलब्ध त्रुटि फेंकता है। इसलिए मैंने इस पर हुक लगाने का फैसला किया!

प्रत्येक स्थान के लिए हम एक त्रुटि के साथ अपना स्वयं का पृष्ठ बनाते हैं

 error_page 503 =429 @blacklist;

और संगत नाम स्थान

 location @blacklist { fastcgi_pass localhost:1234; fastcgi_param SCRIPT_FILENAME /data/web/cgi/blacklist.sh; include fastcgi_params; }

अधिक दिलचस्प है।
हमें CGI लिपियों के लिए समर्थन की आवश्यकता है। हम स्थापित करते हैं, कॉन्फ़िगर करते हैं, स्पॉन-fcgi और fcgiwrap चलाते हैं। मेरे पास पहले से ही यह सामूहिक रूप से तैयार है।

स्वयं सीजीआई लिपि

 #!/bin/bash BAN_TIME=5 DB_NAME="web_black_list" SQLITE_DB="/data/web/cgi/${DB_NAME}.sqlite3" CREATE_TABLE_SQL="\ CREATE TABLE $DB_NAME (\ ip varchar(16) NOT NULL PRIMARY KEY,\ added DATETIME NOT NULL DEFAULT (DATETIME()),\ updated DATETIME NOT NULL DEFAULT (DATETIME()),\ counter INTEGER NOT NULL DEFAULT 0 )" ADD_ENTRY_SQL="INSERT OR IGNORE INTO $DB_NAME (ip) VALUES (\"$REMOTE_ADDR\")" UPD_ENTRY_SQL="UPDATE $DB_NAME SET updated=DATETIME(), counter=(counter+1) WHERE ip=\"$REMOTE_ADDR\"" SQLITE_CMD="/usr/bin/sqlite3 $SQLITE_DB" IPSET_CMD="/usr/sbin/ipset" $IPSET_CMD add $DB_NAME $REMOTE_ADDR > /dev/null 2>&1 if [ ! -f $SQLITE_DB ]; then $SQLITE_CMD "$CREATE_TABLE_SQL" fi $SQLITE_CMD "$ADD_ENTRY_SQL" $SQLITE_CMD "$UPD_ENTRY_SQL" echo "Content-type: text/html" echo "" echo "<html>" echo "<head><title>429 Too Many Requests</title></head>" echo "<body bgcolor=\"white\">" echo "<center><h1>429 Too Many Requests</h1></center>" echo "<center><small><p>Your address ($REMOTE_ADDR) is blacklisted for $BAN_TIME minutes</p></small></center>" echo "<hr><center>$SERVER_SOFTWARE</center>" echo "</body>" echo "</html>"

वास्तव में, सब कुछ स्पष्ट है, सिवाय, शायद, SQLite। मैंने इसे अभी तक केवल आँकड़ों के लिए जोड़ा है, लेकिन सिद्धांत रूप में इसका उपयोग काली सूची से अप्रचलित बैज को हटाने के लिए किया जा सकता है। 5 मिनट का समय भी उपयोग नहीं किया जाता है।

ब्लैक लिस्ट इस तरह बनाई गई थी

 ipset create web_black_list hash:ip

कॉन्फ़िगरेशन और कल्पना के आधार पर प्रत्येक iptables नियम का अपना नियम हो सकता है।

एक होस्टर में मैंने एक प्रबंधित फ़ायरवॉल की सेवा देखी। Ipset add script में एक छोटे कर्ल सेशन की जगह, आप अपने चैनल और नेटवर्क इंटरफेस को अनलोड करके बाहरी फायरवॉल पर खराब फिल्टर कर सकते हैं।

ZY: मंच पर एक "हैकर" का संदेश मुस्कुराया कि उसने कितनी जल्दी सर्वर को नीचे रखा। उसे पता नहीं था कि सर्वर ने उस पर क्या डाला था।

अतिरिक्त:
ब्लैक लिस्ट बनाते समय टाइमआउट पैरामीटर का उपयोग करने की सलाह के लिए कॉमरेड मेगाबूब का धन्यवाद - क्रोन के साथ इसे साफ करने की कोई आवश्यकता नहीं है। अब 5 मिनट के टाइमआउट के साथ इसे बनाने की कमान इस प्रकार है:

 ipset create web_black_list hash:ip timeout 300

मैं सुरक्षा चिंताओं की ओर इशारा करने के लिए अलेक्सा को धन्यवाद देता हूं । उत्पादन सर्वर पर, Fastcgi हैंडलर को केवल nginx के लिए अनुमतियों के साथ एक यूनिक्स-सॉकेट पर लटका दिया जाना चाहिए। जिस विन्यास में हम लिखते हैं:

 error_page 503 =429 @blacklist; location @blacklist { fastcgi_pass unix:/var/run/blacklist-wrap.sock-1; fastcgi_param SCRIPT_FILENAME /data/web/cgi/blacklist.sh; include fastcgi_params; }

स्पॉन- fcgi.wrap के लिए:

 FCGI_SOCKET=/var/run/blacklist-wrap.sock FCGI_PROGRAM=/usr/sbin/fcgiwrap FCGI_EXTRA_OPTIONS="-M 0700 -U nginx -G nginx"

DDoS हमलों पर तेजी से प्रतिक्रिया

More articles: