508 resource limit is reached - problem z przyjęciem dużej ilości requestów

Zombie
zarządzanie, www, zabezpieczenia
Nieznajomy11
Nieznajomy11 Moderator forum.lvlup.pro

SystemZ:

To sprawa na inny wątek

Więc tak, gdy hosting www potraktuje się apachebenchmarkiem wyrzuca błąd 508 aż do wyłączenia, czy jest możliwość zablokować to, ograniczyć ilość połączeń w directadmin?

Jeśli nie, to jak to rozwiązać?

SystemZ
SystemZ Admin lvlup.pro

Hosting współdzielony ma to do siebie że korzysta z niego wiele osób.

Aby te osoby nie zakłócały sobie pracy istnieją ograniczenia ilości połączeń, procesów itp. W chwili gdy strona ma bardzo dużo połączeń i w pewnym momencie je przekroczy to konto WWW może dla części odwiedzających wyświetlać błąd 508.

Z perspektywy użytkownika hostingu jedyną metodą od strony programowania przy użyciu PHP jaką może on sprawdzić czy odrzucić połączenie jest jego przyjęcie czyli tak czy inaczej musisz przekroczyć limit aby wiedzieć że jest przekroczony (trochę bezcelowe ale prawdziwe).

Pomijając PHP można alternatywnie spróbować reguł .htaccess co powinno skutecznie zapobiec dużej ilości procesów spowodowanych przez PHP o ile oczywiście reguły tego pliku wystarczą w twoim przypadku, nie ma on takich możliwości jak język skryptowy, bardziej awaryjnie możesz np. stworzyć whitelistę IP aby sam odzyskać dostęp do serwisu.

Możesz też pokusić się o stworzenie basic autha, gdy firewall hostingu WWW wykryje x błędnych logowań przy użyciu htpasswd powinien wyciąć dany adres IP, nie jestem tylko pewien czy brak próby zalogowania jest traktowany jako błędna próba zalgowania. Odwiedzający może po prostu wtedy przepisać login i hasło z wyskakującego okienka a bot nie bardzo i powinien zostać zablokowany.

Od strony hostingu istnieje techniczna możliwość np. blokowania krajów czy poszczególnych adresów IP jednak nie ma realnej możliwości rozróżnienia użytkowników oprócz osobnych adresów IP. Tak więc takie działania wymagają dokupienia adresu IP i odpłatnego działania administracji.

Zalecałbym po prostu użycie VPS skoro jest tyle ruchu lub można rozważyć użycie zewnętrzengo reverse proxy czyli np. Cloudflare czy też skleić własny reverse proxy przy użyciu np. nginx ale tu nadal potrzebujemy VPS co może w większości wypadków wydawać się bez sensu.

Czyli generalnie w nietypowych przypadkach takich jak ten wygrywa VPS gdzie możemy ustawić sobie wszystko tak jak chcemy.

Nieznajomy11
Nieznajomy11 Moderator forum.lvlup.pro

No cóż, czyli idziemy na VPS KVM ;P

Tylko trochę tak marnie, bo taki "atak" apachebenchmarkiem można w większości przypadków wykonać z 1ghz cpu i 512 mb pamięci operacyjnej.

Co do .htaccess coś znalazłem, tylko problem, że nie widzę żeby dało się aktywować ten moduł w DA [code] MaxConnPerIP 5 NoIPLimit image/* [/code] Spowodowane to tym, że to taki mniej popularny moduł.

Są jeszcze jakieś inne proste możliwości?

SystemZ
SystemZ Admin lvlup.pro

Ataki DoS mają to do siebie że są proste, tanie i skuteczne. Na tym polega ich potęga że nie są drogie i skomplikowane, a obrona przed nimi już często tak ;)

Ciekawy moduł, postaram się w najbliższym czasie poczytać i spróbować go zainstalować na hostingu WWW.

Tak czy inaczej nginx najlepiej nadaje się do większych zastosowań, głównie dlatego że nie obsługuje .htaccess co czyni go szybszym no i jest mniejszy w kodzie. Wpływ na to może mieć też fakt że jest napisany w C przez Rosjan zdaje się :slight_smile:

Nieznajomy11
Nieznajomy11 Moderator forum.lvlup.pro

SystemZ:

Wpływ na to może mieć też fakt że jest napisany w C przez Rosjan zdaje się

Swego czasu jedni z największych specjalistów od DoSowania ;P