Slow Read DoS attack

[Илья Шипицин]

500r/s с одного IP-адреса ????

это ограничивается силами http://wiki.nginx.org/HttpLimitReqModule

делаете ключ (сообразно вашему приложению), скажем

ip + uri + кука с сессией + user-agent

и вешаете на него ограничение "1 запрос в секунду"

9 января 2012 г. 16:10 пользователь Андрей Бойко <kaa на berloga.ru> написал:
> Добрый день.
>
> 09.01.2012 06:48, Maxim Dounin пишет:
>
>> Hello!
>>
>> On Sun, Jan 08, 2012 at 06:08:36PM +0400, Андрей Бойко wrote:
>>
>>> Добрый день.
>>>
>>> Прочитал топик на хабре
>>> http://habrahabr.ru/blogs/infosecurity/135817/, проверил - все
>>> ложится на раз.
>>> Есть мысли, как это забороть? Или это не проблема nginx?
>>
>> Это скорее проблема настроек, чем nginx'а.  Данная "атака"
>> имитирует большое количество медленно читающих ответ клиентов, и
>> вполне логично, что если клиентов больше, чем разрешено держать
>> соединений nginx'у, то будет проблема.
>>
>> На уровне nginx'а можно бороться двумя способами:
>>
>> 1) Разрешить nginx'у держать больше соединений, увеличив
>> worker_connections, благо это дёшево.  Главное - не забыть
>> соответственно настроить операционную систему.
>>
>> 2) Ограничить количество соединений с одного ip-адреса через
>> limit_conn.
>>
>> Maxim Dounin
>>
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru на nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
> Максим, вариант 1 вряд ли подходит, у меня worker_connections  100000 и
> система настроена соответственно.
> Вариант 2 вроде как работает, при ограничении в 500r/s ложиться перестало.
> Надо еще попробовать на более объемном файле.
> Спасибо за ответ.
>
>
> --
> Андрей Бойко.
> тел. +7 (903) 144-11-65
> тел. +7 (495) 755-71-27
> skype boykoav
> icq 472-82-39
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru