অ্যাপাচি: অনুরোধের সংখ্যা / আইপি প্রতি ট্র্যাফিক সীমাবদ্ধ?

12

আমি কেবলমাত্র একটি আইপিকে প্রতিদিন ট্রাফিকের 1 জিবি ব্যবহার করতে, এবং যদি এই সীমাটি অতিক্রম করে, তবে সেই আইপি থেকে সমস্ত অনুরোধগুলি পরের দিন পর্যন্ত বাদ দেওয়া হবে like তবে নির্দিষ্ট পরিমাণ অনুরোধের পরে সংযোগটি বাদ দেওয়া হয়েছে এমন আরও একটি সহজ সমাধানই যথেষ্ট ice

ইতিমধ্যে কিছু মডিউল আছে যা এটি করতে পারে? বা সম্ভবত আমি iptables মত কিছু মাধ্যমে এটি অর্জন করতে পারি?

ধন্যবাদ

apache-2.2  ip  bandwidth  requests 
অ্যাপাচি ভার্সন?
pehrs
2.2

উত্তর:

5

আপনি যদি অ্যাপাচি ২.০ এর জন্য বিশুদ্ধ অ্যাপাচি সমাধান বিডব্লিউ_মড এবং অ্যাপাচি ১.৩ এর জন্য মোড_ব্যান্ডউইথ চান। ব্যান্ডউইথের ব্যবহার সীমিত করতে তারা আপনার সার্ভারের ব্যান্ডউইথকে থ্রটল করতে পারে।

মোড_লিমিটিপকনও রয়েছে, যা একজন ব্যবহারকারীকে আপনার সার্ভারে প্রচুর সংযোগ স্থাপন থেকে বিরত রাখে। Mod_cband হ'ল অন্য বিকল্প, তবে আমি এটি কখনও ব্যবহার করি নি।

আপনি যদি আপনার অ্যাপাচি ইনস্টলেশনটি নিয়ে গোলযোগ না করতে চান তবে আপনি অ্যাপাচের সামনে স্কুইড প্রক্সি রাখতে পারেন। এটি আপনাকে থ্রটলিংয়ের উপরেও আরও নিয়ন্ত্রণ দেয়।

যাইহোক, বেশিরভাগ ক্ষেত্রে সমস্যাটি কয়েকটি বড় অবজেক্টস যখন আপনি প্রতি আইপি ব্যান্ডউইথের সীমাবদ্ধ করতে চান এবং যখন কোনও ব্যবহারকারী খুব বেশি ডেটা টানেন এবং আপনি তাকে অবরুদ্ধ করেন তখন আপনি একটি বুদ্ধিমান ত্রুটি বার্তা দিতে চান। সেক্ষেত্রে পিএইচপি স্ক্রিপ্ট লেখা এবং অ্যাক্সেসের তথ্য কোনও ডাটাবেসে অস্থায়ী টেবিলের মধ্যে সঞ্চয় করা সহজ হতে পারে।

pehrs
সূত্র
2
পরামর্শের জন্য ধন্যবাদ। আমি ইতোমধ্যে bw_mod এবং mod_limitipconn এ দেখেছি, তবে উভয়ই নয় (যতদূর আমি বলতে পারি) আমি যা চাই তা করি না। mod_limitipconn কেবল তাদের একবারে একটি সংযোগে সীমাবদ্ধ করে এবং bw_mod আমাকে কেবল প্রতি আইপি ডাউনলোডের হার সীমাবদ্ধ করতে দেয়। আমি নির্দিষ্ট পরিমাণে ডেটা স্থানান্তর / অনুরোধের পরে সেগুলি ব্লক করতে চাই। আমি আসলে এমন কিছু ব্যবহারকারীর বিরুদ্ধে রক্ষা করার চেষ্টা করছি যারা আমার পুরো সাইটটি ক্রল করে সবকিছু ডাউনলোড করার প্রয়োজন অনুভব করে। আমি স্কুইড প্রক্সি একবার দেখে নেব, আকর্ষণীয় মনে হচ্ছে। যদি এটি কার্যকর না হয় তবে আমি মনে করি আমি bw_mod উত্সটি সংশোধন করব।
আপনি মাকড়সা নিষেধ করার জন্য আপনার রোবটস.টেক্সট সেট করেছেন?
pehrs
1
Robots.txt এর সমস্যাটি হ'ল (অনেকটা আরএফসি 3514 এর মতো) কেবলমাত্র দুর্দান্ত রোবট এটি সম্মান করে।
স্কট প্যাক
সত্য, তবে আপনি দেখতে পাবেন যে আপনার সাইটকে স্পাইড করে সিংহভাগ লোকেরা স্ট্যান্ডার্ড সরঞ্জাম ব্যবহার করে। এবং তাদের মধ্যে অনেকগুলি, যেমন উইজেট, robots.txt কে সম্মান করে। রোবটস টেক্সট হ'ল আপনার ব্যবহারকারীদের জানিয়ে দেওয়ার সঠিক উপায় যা আপনি তাদেরকে মাকড়সা করতে চান না।
pehrs
1
আমি চেষ্টা করেছি। প্রথমে, robots.txt যথেষ্ট ছিল, তারপরে তারা উইজেটকে robots.txt উপেক্ষা করতে বলেছিল, তাই আমি "অপরিচিত" ব্যবহারকারী-এজেন্টদের অবরুদ্ধ করার আশ্রয় নিয়েছিলাম, তবে তারা ব্যবহারকারী এজেন্টকে ফাঁকি দিয়েছিল। তাদের প্রচুর মাথা অনুরোধ করার প্রবণতা রয়েছে, যদিও বৈধ ব্রাউজারগুলি না করে, তাই আমি মাথা অনুরোধগুলি সীমাবদ্ধ করতে বা এটি সম্পূর্ণরূপে অক্ষম করার বিষয়টি দেখতে পারি (কম পছন্দসই)।
5

এই ধরণের ইস্যুটির জন্য এটি আমার আইপটেবল সমাধান। --seconds --hitcountআপনার প্রয়োজন অনুসারে সামঞ্জস্য করুন , iptables টেবিলটিও।

iptables -A FORWARD -m state --state NEW -m recent --rcheck --seconds 600 --hitcount 5 --name ATACK --rsource -j REJECT --reject-with icmp-port-unreachable
iptables -A FORWARD -d 192.168.0.113/32 -o eth1 -p tcp -m tcp --dport 80 -m recent --set --name ATACK --rsource -j ACCEPT

ব্যাখ্যা:

  1. iptablesসোর্স আইপি proc০০ সেকেন্ডের ব্যবধানে ৫ বা তার বেশি সময়ের জন্য / প্রোক / নেট / আইপিট_রেসেন্ট / এটি্যাক ফাইলের তালিকাভুক্ত রয়েছে কিনা তা পরীক্ষা করে দেখুন a যদি তা হয় তবে প্রত্যাখ্যান করুন; আর

  2. iptables অনুরোধটি পোর্ট ৮০ তে নির্ধারিত হয়েছে কিনা তা পরীক্ষা করে দেখুন so যদি তাই হয় তবে / proc / নেট / ipt_recent / ATACK এবং ফরোয়ার্ড প্যাকেটে আইপি এবং টাইমস্ট্যাম্প প্রিন্ট করুন।

এটি আমার প্রয়োজনের জন্য ঠিক কাজ করছে।

গুস্তাভো ফাইজো
সূত্র
3

আপনি ব্যর্থ 2ban এর মতো কোনও সরঞ্জাম দেখেছেন? যদি আপনার জন্য কিছুটা ভারী হস্তান্তরিত হয় তবে এটি আপনাকে প্রদত্ত কোনও আইপি অনুমোদিত হওয়ার অনুরোধের সংখ্যা সীমাবদ্ধ করতে দেয়। এটি লগগুলি দেখে কাজ করে এবং আপনি প্রতি বারে কতগুলি লঙ্ঘনের অনুমতি রয়েছে তার জন্য আপনি বিধিগুলি স্থির করেন, তাই আপনার জন্য যা প্রতি দিন অনুরোধ হতে পারে। একবার তারা এড়িয়ে গেলে এটি ipchains ব্যবহার করে তাদের ব্লক করার মতো কাজ করতে পারে।

আমি এটি খুব সফলভাবে একটি মেল সার্ভারের বিরুদ্ধে ডিডোএস আক্রমণগুলি ব্লক করতে ব্যবহার করেছি। এটি যদিও প্রসেসর শক্তি একটি উল্লেখযোগ্য পরিমাণ গ্রাস করতে পারে।

পিটার বাগনাল
সূত্র
বর্তমান; y নিজেকে এই বাস্তবায়ন করতে চলেছি। আশা করি এটি কার্যকর
ডার্ক স্টার 1
1

চেষ্টা করুন mod_dosevasiveবাmod_security

mod_dosevasive নির্দিষ্ট সময় ফ্রেমে কোনও নির্দিষ্ট নম্বর বা পৃষ্ঠার অনুরোধের পরে আইপি নিষিদ্ধ করার জন্য কনফিগার করা যেতে পারে।

prophet.six
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.