<Directory />
order allow, deny
allow from all
deny from 13.13.13.13
</Directory>
apache - бан по IP
Привет всем.
У меня такая проблема - некие злоумышлинники с нескольких серверов запустили программу, которая беспрерывно в несколько потоков заходит на мой сайт не давай простым юзерам на него заходить...
У меня такой вопрос, возможно ли каким-то образом (через httpd.conf, в частности) полностью заблокировать соединения с апачем с неких IP-адресов?
Дело в том, что у меня веб-хостинг и доступ на использование firewall'а разумеется нет... Есть доступ только на конфиг апача и установку модулей.
У меня такая проблема - некие злоумышлинники с нескольких серверов запустили программу, которая беспрерывно в несколько потоков заходит на мой сайт не давай простым юзерам на него заходить...
У меня такой вопрос, возможно ли каким-то образом (через httpd.conf, в частности) полностью заблокировать соединения с апачем с неких IP-адресов?
Дело в том, что у меня веб-хостинг и доступ на использование firewall'а разумеется нет... Есть доступ только на конфиг апача и установку модулей.
Не особо так помню директивы апача, но вроде так (например, адрес флудеров - 13.13.13.13)
З.Ы. только это не заблокирует соединение, а запретит все действия в корневом каталоге, и я не знаю, насколько это поможет снизить нагрузку
З.З.Ы. ещё посмотри тему http://forum.codenet.ru/showthread.php?t=37984 и глянь на старую статейку http://www.xakep.ru/magazine/xa/081/066/1.asp - там как раз че-то про модули писали (я на нее в указанной теме уже ссылался, но мало ли не увидишь...)
Код:
З.Ы. только это не заблокирует соединение, а запретит все действия в корневом каталоге, и я не знаю, насколько это поможет снизить нагрузку
З.З.Ы. ещё посмотри тему http://forum.codenet.ru/showthread.php?t=37984 и глянь на старую статейку http://www.xakep.ru/magazine/xa/081/066/1.asp - там как раз че-то про модули писали (я на нее в указанной теме уже ссылался, но мало ли не увидишь...)
Можно также использовать реврайт:
Тут запрещен доступ для диапазона айпишников 13.13.13.0-13.13.13.255
Код:
RewriteCond %{REMOTE_ADDR} ^13.13.13. RewriteRule ^.*$ - [F]
Тут запрещен доступ для диапазона айпишников 13.13.13.0-13.13.13.255
Цитата: SkyM@n
Можно также использовать реврайт:
Тут запрещен доступ для диапазона айпишников 13.13.13.0-13.13.13.255
Код:
RewriteCond %{REMOTE_ADDR} ^13.13.13. RewriteRule ^.*$ - [F]
Тут запрещен доступ для диапазона айпишников 13.13.13.0-13.13.13.255
а нафига так? тогда уж всю сеть 13.13.13.* блокировать
Код:
deny from 13.13.13.
Добавил как вариант ответа.
т. е. банальная DDoS атака? тогда не майтесь ерундой. ее надо резать не средствами апача, а на граничном маршрутизаторе. обратитесь к провайдеру.
Цитата: squirL
т. е. банальная DDoS атака?
В том то и дело, что не совсем.
Ребят, сами знаете, у апача есть лимит на кол-во одновременных коннектов. Сайт становится недоступен, т.к. этот лимит забивают атакующие серверы. Понимаете, то есть проблема вовсе не в том, что забивается канал, просто апач перестаёт принимать другие входящие соединения.
Вопрос в том, как средствами апача можно дропать входящие соединения с определённых IP?
<Directory />
order allow, deny
allow from all
deny from 13.13.13.13
</Directory>
Этот вариант - не то, входящие соединение обрабатывается, поэтому толку от этого нет. Лимит всё равно забивается.
Не уверен, что можно иначе... Может быть, фаерволом?
Цитата: Ivanhoe
Не уверен, что можно иначе... Может быть, фаерволом?
он же написал, что доступа к фаерволу нет... это действительно хостера пинать надо. А если положит кое что на проблему - можно попробовать пригрозить повесить ему соучастие :D - ст. 274 УК РФ(если это российский хостер, конечно), при желании ст. 273 за уши тоже притянуть можно. Про кодексы других стран - не ведаю...
ОМГ.... ну говорят вам, не решить эту проблему средствами Апача!
Цитата:
Понимаете, то есть проблема вовсе не в том, что забивается канал, просто апач перестаёт принимать другие входящие соединения.
а DDoS атака - это не обязательно забитый канал. досить можно вполне конкретный сервис
Я вообще-то в этом деле новичок, но по-моему можно попробовать использовать .htaccess, в котором запретить доступ к сайту с определенного (-ых) IP-шников
Цитата: Petya!
Я вообще-то в этом деле новичок, но по-моему можно попробовать использовать .htaccess, в котором запретить доступ к сайту с определенного (-ых) IP-шников
Мало того, что ты поднял несвежую тему, но еще и поумничал :)
Если бы ты читал повнимательнее предыдущие посты, то понял, что "твой" метод предлагался намного раньше. И там же - ответ на этот метод.