| [Question] Hỏi về Nginx và cách chống chọi với DDoS |
23/09/2013 08:19:49 (+0700) | #1 | 278521 |
ctmanh
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 26/03/2013 02:02:47
Messages: 19
Offline
|
|
Chào các anh chị em trên diễn đàn HVA.
Mình hiện tại đang quản lý một số website nhỏ, mô hình Nginx kết hợp với Web2py
Nginx <----> web2py
Dạo này các site của mình thường bị ddos, mình đã tìm hiểu và cho deny mấy cái IP vào config của Nginx nhưng mà mỗi lần thêm vào là cứ phải khởi động lại Nginx.
Mình tạo một file deny.txt và phát hiện những request khả nghi là tự động cập nhật vào file deyny.txt đó, trong nginx.conf thì include cái file đó vào.
Câu hỏi mình đặt ra ở đây là: mỗi lần file deny.txt thay đổi nội dung thì Nginx lại phải restart lại mới áp dụng được, vậy có cách nào để Nginx đọc được nội dung của file đó mà không cần phải restart thủ công nginx? |
|
|
 |
|
| [Question] Hỏi về Nginx và cách chống chọi với DDoS |
24/09/2013 05:44:56 (+0700) | #2 | 278531 |
![[Avatar]](/hvaonline/images/avatar/3f44f3018ff71ff4a7d22a98f3babb55.png "[Avatar]")
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
ctmanh wrote:
Mình hiện tại đang quản lý một số website nhỏ, mô hình Nginx kết hợp với Web2py
Nginx <----> web2py
Dạo này các site của mình thường bị ddos, mình đã tìm hiểu và cho deny mấy cái IP vào config của Nginx nhưng mà mỗi lần thêm vào là cứ phải khởi động lại Nginx.
Mình tạo một file deny.txt và phát hiện những request khả nghi là tự động cập nhật vào file deny.txt đó, trong nginx.conf thì include cái file đó vào.
Câu hỏi mình đặt ra ở đây là: mỗi lần file deny.txt thay đổi nội dung thì Nginx lại phải restart lại mới áp dụng được, vậy có cách nào để Nginx đọc được nội dung của file đó mà không cần phải restart thủ công nginx?
Có. Giám sát file đó, mỗi khi có thay đổi thì restart Nginx một cách tự động. Tham khảo inotify, incron, ...
Tuy nhiên, mình nghĩ đó không phải là giải pháp. Cách làm đúng là:
- chạy tcpdump trên server
- phân tích gói packets --> tìm ra điểm khác biệt, thống kê tần suất, ...
- Tiến hành cản lọc một cách tự động: iptables (recent/hashlimit, ...), mod_security (initcol, setvar, deprecatevar, drop, exec, ...) |
|
| Let's build on a great foundation! |
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận bảo mật
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")