Riešenie DoS prevencie na VPS a Nagios

cosmo

Riešenie DoS prevencie na VPS a Nagios
« kdy: 19. 01. 2012, 17:44:57 »
Zdravim vsetkych,

zriadil som si VPS u WEDOS. Uz na tom bezi zopar webov na LAMP platforme. Chcel by som do systemu dokonfigurovat nejaku prevenciu proti beznym DOS utokom tipu, 1000 requestov z jednej IP za sekundu a podobne.

Existuje nejaky vhodny modul do apache, ktory by zvladal obmedzovat simultanne spojenia ?

Postaci na to napr. direktiva max_clients ? alebo je na to nieco lepsie napr. limitipconn ? Nechcem znovu vynachadzat koleso, mozno mate overene apache2 riesenia. Potreboval by som riesenie, ktore zvlada individualne nastavenia virtualhostov.
Myslim, ze na vyskusanie odolnosti proti DOS by mal stacit google skipfish.

Dalej by som rad monitoroval stav VPS. Pozdava sa mi nagios, ale VPS nema nikdy vykon navyse. Existuje nejake riesenie vyslovene urcene pre nizku zataz servera ?

Mate niekto skusenosti s VPS od WEDOSU ? Viem, ze sa to tu uz preberalo, ale viacmenej nic konkretne som sa nedozvedel. Ja som zatial nadmieru spokojny. Na slovensku im nemoze cenami nikto konkurovat.

Velmi pekne dakujem za pripadne odpovede.
« Poslední změna: 19. 01. 2012, 22:32:28 od Petr Krčmář »


Re:Riesenie DOS prevencie na VPS + NAGIOS
« Odpověď #1 kdy: 19. 01. 2012, 18:11:19 »
Dalej by som rad monitoroval stav VPS. Pozdava sa mi nagios, ale VPS nema nikdy vykon navyse. Existuje nejake riesenie vyslovene urcene pre nizku zataz servera ?

Máš pocit, že Nagios používá zbytečně moc prostředků? Na základě čeho si to myslíš? Kdyby šlo o java molochy typu OpenNMS, tak bychto chápal, ale Nagios?

cosmo

Re:Riesenie DOS prevencie na VPS + NAGIOS
« Odpověď #2 kdy: 19. 01. 2012, 19:13:57 »
Ja netvrdim, ze Nagios je narocny. Len neviem objektivne posudit, ako zatazi VPS, co ma 1GB ram a jedno vlakno CPU. Ale v podstate som iba potreboval vediet nieco ako si povedal. Zrejme sa zbytocne obavam a mal by som ho vyskusat :-)

Prave ho instalujem, ale verim, ze to bude o.k.

Re:Riesenie DOS prevencie na VPS + NAGIOS
« Odpověď #3 kdy: 19. 01. 2012, 19:25:27 »
Ja netvrdim, ze Nagios je narocny. Len neviem objektivne posudit, ako zatazi VPS, co ma 1GB ram a jedno vlakno CPU. Ale v podstate som iba potreboval vediet nieco ako si povedal. Zrejme sa zbytocne obavam a mal by som ho vyskusat :-)

Prave ho instalujem, ale verim, ze to bude o.k.

No tak to záleží hlavně na tom, jaký testy tam budeš mít, s jakou frekvencí a jak budeš data zpracovávat. Pokud tam budeš mít sto testů za sekundu a výsledek budeš ukládat do MySQL, tak to asi žádná sláva nebude :)

DarkKnight

Re:Riešenie DoS prevencie na VPS a Nagios
« Odpověď #4 kdy: 19. 01. 2012, 23:45:15 »
nainstaluj si nginx jako reverzni proxy pro apache

jednak zabrani ddos utokum, pak taky utokum typu slowloris... konfigurace je primitivni, nainstalovano, nastaveno do peti minut


cosmo

Re:Riešenie DoS prevencie na VPS a Nagios
« Odpověď #5 kdy: 20. 01. 2012, 08:50:30 »
[DarkKnight]
To ma nenapadlo riesit to takto. Nasiel som jednoduchy postup: http://tumblr.intranation.com/post/766288369/using-nginx-reverse-proxy.

Ak tomu dobre chapem, tak nginx bude pocuvat na 0.0.0.0:80 a apache2 bude pocuvat iba na localhoste na inom porte.
Teoreticky by sa na take nieco dal pouzit SQUID.

Ale ten napad sa mi paci, musim si to niekde otestovat. Nebude to zbytocne narocne na sytemove prostriedky ?

[Miroslav Prýmek]
No v pripade Nagios-u by som chcel len zaklad. Pocet http spojeni, vytazenie CPU, zaplnenie RAM. V zasade kludne aj vo viachodinovych intervaloch. Ide mi o to, ziskat nejaku predstavu o vytazeni servera a spravit si z toho nejake vseobecne zavery. Nagios som uz nainstaloval, trosku robi problemy ispconfig. Do nagiosu sa prihlasim, ale info nemam, takze sa musim pohrat zrejme s virtualhostami. Ale samotny nagios bezi a nezbadal som nejake spomalenie systemu. Uz len vyriesit ISPconfig a nagios na jednom systeme.

boban

Re:Riešenie DoS prevencie na VPS a Nagios
« Odpověď #6 kdy: 20. 01. 2012, 08:51:34 »
Apache má od v2.2.15, modul mod_reqtimeout, který má pomoci ochránit proti slowloris.

Ad. nginx: pak bych spíš doporučoval přejít rovnou na nginx, než aby to předával dalšímu web serveru..

Co chceš všechno sledovat nagiosem? Na localhost mi to přijde moc velké, zkus se podívat na monit, munin, případně alternativy nagiosu - shinken, icinga

cosmo

Re:Riešenie DoS prevencie na VPS a Nagios
« Odpověď #7 kdy: 20. 01. 2012, 09:24:27 »
Dakujem za tipy.

Nagios chcem na zakladnu (niekolko hodinove intervaly) statistiku zataze CPU/RAM a pripadne na statistiku HTTP spojeni. Potrebujem mat vseobecnu predstavu o vykone VPS pre prevadzku viacerych domen.

mod_reqtimeout a slowloris sa preberali aj na root.cz, urcite vyskusam.
Myslim, ze monit je presne to, co hladam. Podla dokumentacie na webe to vyzera slubne. Urcite vyskusam.

Zamena apache2 za nginx - toho sa trosku obavam. Pouzivam ISPconfig a nie som si celkom isty, ze sa podari uspesne premigrovat na nginx. Okrem ineho s nginx nemam prakticky ziadne skusenosti.

boban


cosmo

Re:Riešenie DoS prevencie na VPS a Nagios
« Odpověď #9 kdy: 20. 01. 2012, 15:10:53 »
No, ako tak pozeram, myslim ze s monitoringom nebudu problemy, monit je zrejme to co potrebujem.

Ten nginx ma laka, ale mam obavy z experimentov na serveri, ktory sa vyuziva. Asi sa budem musiet pohrat vo virtuale mimo realneho servera :-)

Zatial to vsak vidim na apache2 a mod_reqtimeout na slowloris a pripadne dalsie nastavenia, napr. MaxCilents a suvisiace nastavenia.

Celkom zaujimavo vyzera toto: http://dominia.org/djao/limitipconn.html

Nasiel som aj riesenia na baze IPtables, ale to sa mi zda ako kanon na vrabce: http://serverfault.com/questions/252555/limit-simultaneous-connections-per-ip-with-apache2

Monit vie v pripade problemov podla podmienok restartovat co treba, takze k vaznemu padu by nemalo dojst ak by bol server neumerne zatazeny.

[boban]
Dik za linky. Na howToForge su vzdy dobre clanky a takmer kazdy navod funguje :-)



cosmo

Re:Riešenie DoS prevencie na VPS a Nagios
« Odpověď #10 kdy: 31. 01. 2012, 09:04:31 »
Dobry den vospolok,

tak nakoniec som nastavil ako monitoring monit. Je to uplne najlepsie riesenie, minimalisticke a robi presne to co potrebujem. Dakujem za tip. Velmi ma potesila jednoducha konfiguracia a moznost automatickeho restartu sluzieb v pripade splnenia podmienky.

Nastavil som nejake direktivy v apache2 a este poriesim nejako "slowloris".

[DarkKnight] Mal som moznost zhliadnut konfiguraciu nginx ako proxy pre apache, ale bolo to na dedikovanom serveri, takze zatial nebudem na VPS skusat. Ale chodilo to perfektne.

Ak nieco nove nasadim, urcite sem hodim info.

iwk

Re:Riešenie DoS prevencie na VPS a Nagios
« Odpověď #11 kdy: 31. 01. 2012, 12:06:58 »
mod_evasive

DarkKnight

Re:Riešenie DoS prevencie na VPS a Nagios
« Odpověď #12 kdy: 31. 01. 2012, 14:15:39 »
Cosmo: konfigurace je stejna a ano, pochopil jsi to spravne

nginx bude na defaultnim portu 80, zatimco apache bude pouze na interni ip na jinem portu (treba 8080), veskery webovy traffic bude pres nginx, ktery to redirectuje do apache... instalace je jednoducha, napriklad takovy konfigurak (redirect vseho na port 8080), pro spravne zobrazeni ip potrebujes jeste mod_rpaf/mod_rpaf2 pro apache
Kód: [Vybrat]
server {
        listen   80 default;
        server_name  _;
        access_log off;
        error_log off;
        location / {
            proxy_set_header X-Real-IP  $remote_addr;
            proxy_set_header X-Forwarded-For $remote_addr;

            proxy_set_header Host $host;
          proxy_pass http://127.0.0.1:8080/;
        }

}