Прошлую тему я нечаянно удалил (хотел удалить дубликат сообщения, но ушла вся тема и не восстанавливается).

Так что создал новую.

Если кто-то стал получать 404, обращайтесь на moderator@rsdn.org для разбана.

VD>Если кто-то стал получать 404

У меня периодически 502, 503 или вообще не открывается.

Ну и повторю вопрос, заданный в стёртой теме: а в чём проблема выдержать 1000 активных пользователей (людей или ботов — не важно)? Простейшее ограничение (10 запросов в минуту с одного ip-адреса) должно справиться с этим невероятным DDOS-ом из 1000 ботов.

Здравствуйте, L.K., Вы писали:

LK>Простейшее ограничение (10 запросов в минуту с одного ip-адреса)

... забанит примерно всех пользователей. Открой свой браузер и посмотри сколько заходов генерирует простой заход в корень сайта.

НС>... забанит примерно всех пользователей. Открой свой браузер и посмотри сколько заходов генерирует простой заход в корень сайта.

4 запроса — основной документ и 3 фрейма.

Ну ещё пятый битый url, выдающий ответ 404 — http://rsdn.org/bundles/css/old/default

Гугло-аналитику и аватарки gravatar я не считают, эти запросы не на RSDN идут.

Остальное (статика) грузится из кэша. Для статики можно сделать отдельное правило, допускающее однократную массовую загрузку.

Здравствуйте, L.K., Вы писали:

VD>>Если кто-то стал получать 404

LK>У меня периодически 502, 503 или вообще не открывается.

Это как раз результат ДОСа. Он тактику немного сменил. Но это не помогло. Я еще +200 айпишников забанил. Вроде сейчас сайт воркает.

LK>Ну и повторю вопрос, заданный в стёртой теме: а в чём проблема выдержать 1000 активных пользователей (людей или ботов — не важно)? Простейшее ограничение (10 запросов в минуту с одного ip-адреса) должно справиться с этим невероятным DDOS-ом из 1000 ботов.

Так живые тоже активные. А боты как раз мимикрируют под нормального юзеря и быстро с каждого айпи не прет запросов. Но в сумме, с разных айпи, получается по десятки запросов в секунду. И всё это по тяжелой страничке. Вот когда ботоферма в бане, то ИИС быстро их на йух отправляет и сайт более менее воркает.

Здравствуйте, L.K., Вы писали:

LK>Простейшее ограничение (10 запросов в минуту с одного ip-адреса) должно справиться с этим невероятным DDOS-ом из 1000 ботов.

Вот выборка:

2023-05-18 18:19:29 GET / 161.35.3.14     404
2023-05-18 18:19:34 GET / 65.109.8.156    404
2023-05-18 18:19:34 GET / 200.25.254.193  404
2023-05-18 18:19:35 GET / 65.108.92.82    404
2023-05-18 18:19:35 GET / 65.108.215.183  404
2023-05-18 18:19:36 GET / 65.109.225.29   404
2023-05-18 18:19:37 GET / 201.71.2.5      404
2023-05-18 18:19:39 GET / 170.64.148.204  404
2023-05-18 18:19:41 GET / 167.172.107.14  404
2023-05-18 18:19:41 GET / 159.223.25.140  404
2023-05-18 18:19:42 GET / 202.142.158.114 404
2023-05-18 18:19:43 GET / 201.77.96.25    404
2023-05-18 18:19:50 GET / 152.69.193.140  200
2023-05-18 18:20:07 GET / 151.43.9.123    200
2023-05-18 18:20:07 GET / 107.152.41.3    404
2023-05-18 18:20:23 GET / 113.53.231.133  404
2023-05-18 18:20:26 GET / 110.45.156.46   200

Те что 404 — это боты забаненые раньше. А выделенные жирным, скорее всего, тоже боты. Но не факт.

Здравствуйте, VladD2, Вы писали:

VD>Если кто-то стал получать 404, обращайтесь на moderator@rsdn.org для разбана.

Хм, у меня было одно время 404, но само прошло.

Здравствуйте, VladD2, Вы писали:

VD>Если кто-то стал получать 404, обращайтесь на moderator@rsdn.org для разбана.

Janus коннектиццо даже не то чтоб через раз а через десять. Ну и не получает никаких 404, просто соединение висит и ничего не происходит. Потом его прорывает на какое то время и опять уходит в задумчивость.

Здравствуйте, ути-пути, Вы писали:

УП>Хм, у меня было одно время 404, но само прошло.

Попал под горячую руку, но потом я улучшил эвристику и перебанил всех занова.

Здравствуйте, CreatorCray, Вы писали:

CC>Janus коннектиццо даже не то чтоб через раз а через десять. Ну и не получает никаких 404, просто соединение висит и ничего не происходит. Потом его прорывает на какое то время и опять уходит в задумчивость.

Это результат доса. Только что еще 470+ новых дотоферм забанил.

Здравствуйте, L.K., Вы писали:

НС>>... забанит примерно всех пользователей. Открой свой браузер и посмотри сколько заходов генерирует простой заход в корень сайта.
LK>4 запроса — основной документ и 3 фрейма.

Т.е. 3 запроса в минуту и все, ты в бане. Отличная идея.

LK> Для статики можно сделать отдельное правило, допускающее однократную массовую загрузку.

Во, начинается. А когда в реальность попадешь, то окажется что нужно еще с десяток всяких хитрых правил.

Может за клаудфларой лучше спрятать сайт. Тормозит адски.

Здравствуйте, vsb, Вы писали:

vsb>Может за клаудфларой лучше спрятать сайт. Тормозит адски.

А какие там условия? И что для этого нужно сделать?

Здравствуйте, VladD2, Вы писали:

vsb>>Может за клаудфларой лучше спрятать сайт. Тормозит адски.

VD>А какие там условия? И что для этого нужно сделать?

Вроде есть бесплатный план. Нужно зарегистрироваться, добавить и подтвердить домен, и в конечном счёте перенести туда DNS. При настройке DNS-записи A поставить галочку proxied. При этом Cloudflare будет клиентам отдавать IP адрес своих серверов и запросы перенаправлять на основной сервер, IP которого будет скрыт (ну понятно, что текущий IP желательно сменить, он уже всем давно известен). Ну и защищать от ддоса и прочего. Можно кешировать какие-то страницы, тогда запросы на них на сервер даже не пойдут, если в кеше они есть.

Насколько я понимаю, основная фишка cloudflare — если он понимает, что идёт атака (или в панели этот режим включается), то он начинает проверять юзеров и пускает только тех, кто идёт через браузер, а остальным выдаёт капчу. Т.е. примитивный ддос скриптами легко отсечётся.

Ну и можно банить подсеть/страну/user agent, можно настраивать rate limit.

В принципе, пока ддос не забивает сетевой канал, то это всё можно и самому делать, но там просто оно удобней, через интерфейс и всё такое. Но если ддос начнёт забивать сетевой канал, то тут уже самому, наверное, не справиться, только взаимодействуя с провайдером, тут cloudflare однозначно будет удобней.

Если решите делать — лучше сначала на другом домене потренироваться. Но концептуально вроде всё так.

Здравствуйте, vsb, Вы писали:

vsb>Насколько я понимаю, основная фишка cloudflare — если он понимает, что идёт атака (или в панели этот режим включается), то он начинает проверять юзеров и пускает только тех, кто идёт через браузер, а остальным выдаёт капчу. Т.е. примитивный ддос скриптами легко отсечётся.

Сразу 2 момента: есть куча браузерных ботов (хотя, говорят, пик их популярности несколько лет как прошел), и капча может сильно подгадить сайту на фреймах.

Здравствуйте, VladD2, Вы писали:

VD>Если кто-то стал получать 404, обращайтесь на moderator@rsdn.org для разбана.

Я вчера написал — доехало?

С французского IP меня не пускает (404). С российского, через прокси, сайт выглядит вполне живым.

Здравствуйте, vsb, Вы писали:

vsb> vsb>>Может за клаудфларой лучше спрятать сайт. Тормозит адски.

Из-за этого гребаного клоудфлара я на один "защищенный" сайт по нескольку часов зайти не могу. Капча по кругу

Здравствуйте, vsb, Вы писали:

vsb>Может за клаудфларой лучше спрятать сайт. Тормозит адски.

это же вражеская компания
я бы не хотел чтобы отечественный трафик через них шел

Здравствуйте, vsb, Вы писали:

vsb>Насколько я понимаю, основная фишка cloudflare — если он понимает, что идёт атака (или в панели этот режим включается), то он начинает проверять юзеров и пускает только тех, кто идёт через браузер, а остальным выдаёт капчу.

Это отрубит всем Janus

Здравствуйте, rudzuk, Вы писали:

R>Из-за этого гребаного клоудфлара я на один "защищенный" сайт по нескольку часов зайти не могу. Капча по кругу

Pivacy Pass иногда помогает в таких случаях.