Для новых коннектов можно на фаерволе ловушку сочинить через hashlimit и ip_recent. Я делал вот так: <a href="http://habrahabr.ru/blogs/sysadm/124492/#comment_4094950">http://habrahabr.ru/blogs/sysadm/124492/#comment_4094950</a><br>
<br>Правда есть нюансы, что вышибет оперу турбо, но это белым списком решается. Проблем с фаерволом две:<br><br>1. Нельзя ограничить по доменам<br>2. Пропускает множественные запросы внутри keep-alive (а это уже хуже)<br clear="all">
<br>В общем, более навернутый limit_req действительно был бы удобен. Задача "полочить шибко шустрых, пока не остынут" - действительно типовая.<br><br>Vitaly Puzrin<br><a href="http://www.rcdesign.ru">http://www.rcdesign.ru</a><br>
<br><br><div class="gmail_quote">2011/10/26 Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Hello!<br>
<div class="im"><br>
On Wed, Oct 26, 2011 at 12:12:50PM +0400, Михаил Монашёв wrote:<br>
<br>
> Здравствуйте, Maxim.<br>
><br>
> >> Иногда возникает задача блокировать кого-то, кто чересчур часто что-то<br>
> >> с сайта запрашивает. Сейчас можно ограничить его по количеству<br>
> >> запросов в единицу времени. Но запросы, которые вписываются в лимит<br>
> >> будут проходить. Но это не совсем то, что иногда нужно. Иногда надо<br>
> >> заблокировать до тех пор, пока количество запросов не снизится до<br>
> >> установленного лимита. И это легко могло бы решаться, если у limit_req<br>
> >> добавить параметр, который заставлял бы сохранять информацию о каждом<br>
> >> запросе, а не только о том, который вписывается в установленный лимит.<br>
><br>
> > (just for history)<br>
><br>
> > В общем случае "сохранять информацию о каждом запросе" - нельзя,<br>
> > ибо это даст возможность заблокировать лимитируемый параметр<br>
> > практически навечно. E.g. evil hacker запрашивает ip под DHCP у<br>
> > какого-нибудь stream'а, делает N (или M) запросов, запрашивает<br>
> > следующий ip, ... В результате со стрима ни у кого твой сайт не<br>
> > работает. Или ещё хуже: у хостера стоит лимит запросов на домен,<br>
> > и тебе на этот сайт наливают M**2 запросов - сайт заблокирован на<br>
> > неизвестное время.<br>
><br>
> Я имел ввиду другое: если льётся более, чем Х запросов в единицу<br>
> времени, то вообще ни один запрос не пропускать.<br>
<br>
</div>Ну вот это реализуется методом<br>
<br>
limit_req ... burst=10 считать-до=11;<br>
<br>
в предложенном мной варианте.<br>
<div class="im"><br>
> Проблемы со злостным<br>
> хакером нет. Он сменит ip, запросы кончатся и ip разблокируется по<br>
> истечении единицы времени. С доменом та же история - кончилась атака и<br>
> через единицу времени пропадает лимит.<br>
<br>
</div>Если считать до бесконечности - то проблема есть.<br>
<div class="im"><br>
> > Какой-то механизм, обеспечивающий контролируемый гистерезис -<br>
> > наверное нужен. Я исходно хотел сделать помимо параметра burst=<br>
> > ещё и какой-то параметр <считать-до>=, но хорошего названия так и<br>
> > не придумалось, да и руки не дошли.<br>
><br>
> > Возможно, альтернативным вариантом будет некая дополнительная<br>
> > таблица блокировки, в которую "нехорошие люди" будут заносится на<br>
> > заданное время при превышении лимита (её же можно будет<br>
> > использовать при превышении других ограничений, а равно при просто<br>
> > при выполнении определённых условий). Тут надо ещё подумать.<br>
><br>
> ИМХО, надо отделять подсчёт лимита от самого блокирования, а не<br>
> совмещать их в одной директиве.<br>
<br>
</div>Может быть.<br>
<div class="im"><br>
> P.S.<br>
> Так как nginx кроме всего прочего часто выполняет функции фаервола, то<br>
> возможно что-то из фаерволов имеет смысл позаимствовать.<br>
<br>
</div>Используемые в limit_req алгоритмы leaky bucket / token bucket -<br>
это как раз алгоритмы из области traffic shaping'а... :)<br>
<font color="#888888"><br>
Maxim Dounin<br>
</font><div><div></div><div class="h5"><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br>