Простейшая защита от DDOS на PHP?

Question

Владимир Соколовский @inlanger

Django программист

Простейшая защита от DDOS на PHP?

Можно ли организовать простейшую защиту от DDOS не на уровне конфигурации сервера, а на уровне кода PHP? Может кто-то использует готовые решения, тогда поделитесь ссылочками, пожалуйста.

Вопрос задан более трёх лет назад
11614 просмотров

Комментировать

Подписаться 9 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 10

Комментировать

2 комментария

SMiX @SMiX

При этом из memcached контент может брать сам nginx, а какой-нибудь демон будет проверять нагрузку и ставить флаг в тот же memcached. Но вообще, как уже сказали выше, защиту нужно строить на уровне логов и netstat-а.

Написано более трёх лет назад
Sergey @bondbig

На уровне логов и нетстата вы себе сами создадите локальный DoS, когда количество соединений вырастет до нескольких тысяч. netstat -nta вым будет по нескольку минут сжирать 100% CPU. Про логи я тоже молчу, хреначить будет так, что ваш диск не справится с IO. На уровне нетстата и логов можно фильтровать лишь вялотекущие атаки в десяток-другой мегабит с пары тысяч ботов. Ну или не атаки, а просто ловить аномальные запросы скрипткиддисов и сканеров уязвимостей. Но не более. Дальше только специализированные решения на стороне провайдера (ов).

Написано более трёх лет назад

Комментировать

3 комментария

keatis @keatis

Немного похоже на садо-мазо, все-таки. Решать на пхп задачи, с успехом решаемые другими средствами, специально на то заточенными, типа mod_evasive\mod_bwlimit (емнип, за название не ручаюсь), firewall (!), что-нибудь типа bruteblock на худой конец…

Запрос — файрвол — зарубили
или
Запрос — апач — новый процесс с mod_php в памяти или +1 процесс php, если fcgi — memcached…

Написано более трёх лет назад
BasilioCat @BasilioCat

Садо-мазо заложено в самой постановке задачи — может речь о шаред хостинге?

Написано более трёх лет назад
keatis @keatis

В таком случае простейшей защитой от ддоса станет пхп-скрипт, отсылающий емейл саппорту или тех. отделу хостинга.
пс. А для убедительности письмо можно отсылать при каждом входящем запросе атакующих :))

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- 3 часа назад
- 75 просмотров
1

ответ
PHP

Простой
Не работает часть скрипта PHP при смены PHP 7 на 8?
- 1 подписчик
- 17 часов назад
- 165 просмотров
2

ответа
PHP

Средний
Как найти в массиве ответа API нужное значение, при том что значение может быть написано в разном регистре?
- 1 подписчик
- 23 часа назад
- 131 просмотр
3

ответа
PHP

+1 ещё

Простой
Как отправить сообщение в определенную тему в группе Telegram боту на PHP?
- 1 подписчик
- вчера
- 65 просмотров
0

ответов
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- вчера
- 66 просмотров
0

ответов
PHP

+1 ещё

Средний
Как отладить плавающий баг проверки капчи?
- 1 подписчик
- вчера
- 57 просмотров
1

ответ
PHP

Простой
Как вывести переменную php которая выводит путь к файлу в строке $data = File('assets/files/uslugi-i-ceny/558.csv');?
- 1 подписчик
- вчера
- 97 просмотров
0

ответов
PHP

+1 ещё

Простой
Как сделать авторизацию по двум таблицам в Symfony?
- 1 подписчик
- вчера
- 87 просмотров
2

ответа
PHP

+1 ещё

Простой
Как исправить ошибку Uncaught Error: Call to undefined function mysql_real_escape_string?
- 1 подписчик
- 21 апр.
- 100 просмотров
3

ответа
PHP

Простой
Как записать в базу пустое поле?
- 1 подписчик
- 21 апр.
- 171 просмотр
3

ответа
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Нужен таргетолог нашего сайта

23 апр. 2024, в 15:57

10000 руб./за проект

3d модель накладок для наушнико

23 апр. 2024, в 15:55

1000 руб./за проект

Игровой проект VRussia online в поисках опытного backend разработчика

23 апр. 2024, в 15:54

500 руб./в час

Answer 1 · 2010-10-19 14:24:54

анти-ддос «на уровне php» — сам по себе — ерунда, по определению. Можно оптимизировать код, чтобы он занимал меньше памяти, меньше процессорного времени, меньше «долгих» запросов к БД и т.п. Но это все имеет смысл делать просто так, как правило, а не в попытках отбить ддос.
На базе кода php можно сварганить IDS, что успешно и делают некоторые.

Answer 2 · 2010-10-19 14:27:27

можно перед отдачей страницы класть html в кэш (redis, memcached, а ключ составить из запроса и критичных кук), а в index.php до всего-всего-всего проверять наличие флага «повышенная нагрузка». если флаг стоит — не грузить php код, а отдавать страницу из кэша.

флагом может быть файл — например по крону проверять нагрузку на сервер и создавать /tmp/ddos, если она повышена

Answer 3 · 2010-10-19 14:35:19

Когда DDOSят, главной задачей ставят нагнуть определенный сервис или весь сервер.
Защищаясь от ддоса с помощью php, особых плюсов это в большинстве случаев не принесет (ну разве что, напр., снимет нагрузку с СУБД). А канал так и останется забитым, очередь подключений — полной, апач будет молотить максимальным кол-вом процессов, кто-нибудь доест остатки свободной памяти… А там уже не только пользователям сервиса будет сложно пробиться на сайт, но и админу по ssh.

Защита от DDOS — всегда комплексный подход, а иначе это не защита.

Answer 4 · 2010-10-20 13:06:39

Даже при среднем DDoS скрипт вроде
<?php
echo «123»;
?>

будет занимать у вас 100% CPU.

Наоборот, цель защиты от DDoS — не допустить спама на PHP скрипты средствами, например, nginx.

Answer 5 · 2010-11-02 17:33:52

ChemAli @ChemAli

Можно. Отключите PHP и перенаправьте посетителей на статичную версию сайта.

Ответ написан более трёх лет назад

Комментировать

Answer 6 · 2010-10-19 14:59:43

Соглашусь половина сайтов рунета валятся простым ab
добавление обычного кэширования к ним спасает от очень многого. особенно хочу отметить «мемкэшед»

но ддос бывает разный, могут и просто «забить канал» если железо справляется.
но тутже средствами nginx или iptables можно на коленке побороться…

Answer 7 · 2010-10-20 00:38:02

Если ваш скрипт на пхп будет первым делом лазить например в мемкэш и проверять сколько подключений за минуту было с такого же адреса, что и сейчас, и если больше порога, то соединение быстро закрывать, то в теории с небольшим ДоСом вы справитесь. Впрочем если он по те же критериям будет формировать .htaccess с директивами deny from — будет быстрее. А если еще и перед апачем случайно nginx стоит, то есть шанс, что ваш сайт будет даже работать.

Answer 8 · 2010-10-20 11:57:10

Как вы собираетесь защищаться от атаки хотя бы с 20 000 айпи? С помощью пхп?

Это как использовать малую сапёрную лопатку, но крутой иностранной фирмы, для защиты от «примитивного» ядерного удара.

Answer 9 · 2010-10-20 06:15:00

защита от ддос это сильно сказано, а вот защититься от всяких паразитных ботов способных положить не шибко быстрый сайт вполне возможно.

Answer 10 · 2022-04-26 18:43:40

вот наверное что вас интересует:
https://habr.com/ru/post/659811/
это снизит нагрузку на сервак от всяких ботов, хотя от полноценного DDoS не спасёт

Простейшая защита от DDOS на PHP?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт