ddos

tlito Сб, 04/03/2017 - 10:53

Скрипты от mitchellkrogza - Nginx Ultimate Bad Bot Blocker. Зачем там whitelist?

https://github.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker
скрипты блокируют спам-ботов на уровне сервера, которые создают нагрузку на сервер nginx.
зачем там белый список, в котором ip 127.0.0.1 ? стоит ли доверять такому скрипту?
https://raw.githubusercontent.com/mitchellkrogza/nginx-ultimate-bad-bot-blocker/master/bots.d/whitelist-ips.conf

Тип материала: 
0 Спасибо

Sorix Ср, 10/06/2009 - 23:14

Защита от DDoS от залогиненых пользователей

После тестирования своего сайта программкой AB я получил вполне ожидаемые результаты
Параметры теста: 50 одновременных запросов, всего 1000 запросов.
Страница была очень нагружена контентом и генерировала достаточное кол-во запросов к БД.

У залогиненного пользователя:

Requests per second:    6.02 [#/sec] (mean)
Time per request:       166.014 [ms] (mean, across all concurrent requests)
Transfer rate:          199.63 [Kbytes/sec] received

У анонима (работает кеширование):

Requests per second:    184.58 [#/sec] (mean)
Time per request:       5.418 [ms] (mean, across all concurrent requests)
Transfer rate:          6113.97 [Kbytes/sec] received

Результаты понятное дело очень сильно отличаются, из-за того что у залогиненого пользователя не работает кеширование.

Вопрос: возможно ли как-то лимитировать количество запросов от одного пользователя? Например, так сделано ВКонтакте — нельзя делать более 1 запроса в секунду от 1 пользователя. Друпалу это могло бы сильно помочь при защите от DDoS-атаки, если атакующий ограничен в количестве учетных записей.

0 Спасибо