Apache перегружен

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение paix » 2009-02-04 19:29:15

Volodymyr писал(а): 72.2 requests/sec - 318.0 kB/second - 4510 B/request
149 requests currently being processed, 0 idle workers
[/code]
смотрите число запросов велико, и заняты все доступные процессы апача. Т.е. DDoS идет успешно, т.к. другие клиенты не могут на сайт законектится.

mod_dosevasive вам сейчас не поможет никак.

Я рекомендую вам задействовать pf, и запускать скрипты чтобы заносить ботов в таблицу фаера.

Я делал так:
скрипты на основе парсинга логов (подразумевается что бот выхватывает слишком часто 503 от нжинка - бекенд недоступен.)

Код: Выделить всё

cat /var/log/nginx/domain.access.log | grep 'GET \/ HTTP\/1.1 \"503\" '|awk '{print $1}'|sort|uniq -c|sort -nr|awk '{ if ($1 >10) print $2}'>>/var/db/ddosips
эти айпишники загоняются в таблицу.
таблица подключена в pf

Код: Выделить всё

table <ddos> persist file "/var/db/ddosips"
это все по крону с периодическим запуском скрипта анализа лога, генерирования таблицы с ботами и релоада фаера.

Код: Выделить всё

/sbin/pfctl -T load  -f /etc/pf.fw
Можно, конечно, для начала и придумать каконить кастыль в виде отключения данного домена, повышения числа maxclients но кардинально вам помогут только скрипты + фаервол.

PS. 127.0.0.0.1 это хорошо, но могут запросто в ботах прописать айпишник - днс, т.е. боты не будт зависить от днс (меня так тоже досили ;) )
смотреть в сторону pf для начала чтобы запустить его. (можно начать с доки http://www.openbsd.org/faq/pf/ а также деполтных примеров /pf.conf /usr/share/examples/pf/)
With best wishes, Sergej Kandyla

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-02-04 20:06:22

Спасибо.

Как-раз собирался pf в ядро врисовать. И на последок. Что это такое может быть, давно уже в логах наблюдаю.

Код: Выделить всё

# tail /var/log/httpd-access.log
127.0.0.1 - - [04/Feb/2009:19:05:38 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [04/Feb/2009:19:05:39 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [04/Feb/2009:19:05:40 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [04/Feb/2009:19:05:41 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [04/Feb/2009:19:05:42 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [04/Feb/2009:19:05:43 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [04/Feb/2009:19:05:57 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [04/Feb/2009:19:05:58 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [04/Feb/2009:19:05:59 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [04/Feb/2009:19:06:00 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение paix » 2009-02-04 20:12:17

Volodymyr писал(а):Спасибо.

Как-раз собирался pf в ядро врисовать. И на последок. Что это такое может быть, давно уже в логах наблюдаю.

Код: Выделить всё

# tail /var/log/httpd-access.log
127.0.0.1 - - [04/Feb/2009:19:05:38 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch (internal dummy connection)"

достаточно kldload pf, ядро не обязательно пересобирать
насчет лога - хз, зависит от конфигурации вешего сервака.
With best wishes, Sergej Kandyla

Аватара пользователя
wnd
сержант
Сообщения: 261
Зарегистрирован: 2008-02-28 4:42:10
Откуда: Донецк -> Киев -> Chicago

Re: Apache перегружен

Непрочитанное сообщение wnd » 2009-02-04 20:18:17

Volodymyr писал(а):

Код: Выделить всё

Apache Server Status for ххх.ххх.ххх.ххх

Server Version: Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch
Server Built: Jan 22 2009 14:31:00

Current Time: Wednesday, 04-Feb-2009 18:03:30 EET
Restart Time: Wednesday, 04-Feb-2009 17:50:39 EET
Parent Server Generation: 1
Server uptime: 12 minutes 51 seconds
Total accesses: 55658 - Total Traffic: 239.4 MB
CPU Usage: u60.4375 s39.2813 cu.03125 cs0 - 12.9% CPU load
72.2 requests/sec - 318.0 kB/second - 4510 B/request
149 requests currently being processed, 0 idle workers

WKKKKKKWKW_K_K_K_KKKWRKWWRKKC_KKKKKW_CW_KWKKWWKWKWKKK.WCKWKWW_KK
KKWKKKWKKKKKWKWC_KKKKKWKKKKKKKRKKK_KWK_WKKWKW_KKKKKWRCKWKCKW___K
WKKWWKKKKWKKWKKKK_WKWK..........................................
................................................................

Scoreboard Key:
"_" Waiting for Connection, "S" Starting up, "R" Reading Request,
"W" Sending Reply, "K" Keepalive (read), "D" DNS Lookup,
"C" Closing connection, "L" Logging, "G" Gracefully finishing,
"I" Idle cleanup of worker, "." Open slot with no current process

Srv	PID	Acc	M	CPU 	SS	Req	Conn	Child	Slot	Client	VHost	Request
0-2	8073	0/17/411	W 	0.12	48	0	0.0	0.09	1.37 	79.172.77.14	******.com.ua	GET / HTTP/1.1
я бы еще KeepAlive Off сделал
Кстати, сколько KeepAliveTimeout стоит?
If builders built buildings the way programmers wrote programs, then the first woodpecker that came along would destroy civilization.

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-02-04 20:34:02

wnd писал(а):я бы еще KeepAlive Off сделал
Что даст?
wnd писал(а):Кстати, сколько KeepAliveTimeout стоит?
http://forum.lissyara.su/viewtopic.php?p=137122#p137122

Аватара пользователя
wnd
сержант
Сообщения: 261
Зарегистрирован: 2008-02-28 4:42:10
Откуда: Донецк -> Киев -> Chicago

Re: Apache перегружен

Непрочитанное сообщение wnd » 2009-02-04 21:10:24

Volodymyr писал(а):
wnd писал(а):я бы еще KeepAlive Off сделал
Что даст?
Будет закрывать соединение, после того как отдало объект, а не ждать KeepAliveTimeout и потом закрывать соедининие.

посмотри тут

Код: Выделить всё

http://perl.apache.org/docs/1.0/guide/performance.html#KeepAlive
Из минусов будет чуть больше ресурсов тратить на установление каждого соединения.
If builders built buildings the way programmers wrote programs, then the first woodpecker that came along would destroy civilization.

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение paix » 2009-02-05 12:44:38

да, совет дельный (кепалайв отключить).
В будущем все равно рекомендуется нжинкс на фронт поставить (перед апачем), тем более что нжинкс с бекендами еще не научился кепалайв держать (хотя это вообщемто и не нужно в большинстве случаев.)
With best wishes, Sergej Kandyla

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-02-05 17:15:18

paix писал(а):да, совет дельный (кепалайв отключить).
В будущем все равно рекомендуется нжинкс на фронт поставить (перед апачем), тем более что нжинкс с бекендами еще не научился кепалайв держать (хотя это вообщемто и не нужно в большинстве случаев.)
Поставил nginx. Пока особо не наблюдаю разгрузку сервера. Хотя он не был особо нагружен. Толковой статьи по настройке проксирования тоже не нашол, так что может собрал криво связку.

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение paix » 2009-02-05 17:20:35

Volodymyr писал(а):
Поставил nginx. Пока особо не наблюдаю разгрузку сервера. Хотя он не был особо нагружен. Толковой статьи по настройке проксирования тоже не нашол, так что может собрал криво связку.
вот статья что когдато раньше писал
http://directadmin.com/forum/showthread.php?t=27344

+
http://blog.kovyrin.net/2006/05/18/ngin ... y/lang/ru/

ЗЫ. плохо ищите...
With best wishes, Sergej Kandyla

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-02-05 18:09:55

paix писал(а):ЗЫ. плохо ищите...
В одном месте не нашел :) А так по кускам нашел. Так как все описывают полную связку с mod_realip, а для А22 mod_rpaf http://stderr.net/apache/rpaf/ собственно все работает. Вопрос как риализировать

Код: Выделить всё

location ~* ^.+.(nrg|htm|html|jpg|jpeg|gif|png|ico|css|zip|7z|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js|avi|mp3|mp4|mpg|iso|djvu|dmg|flac|r70|mdf|chm|sisx|sis|flv|thm|bin)$ {
root /home/_USER_/domains/_HEAVYLOADEDDOMAIN_/public_html/;
Для пару десятков виртуалхостов?

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-02-06 17:29:17

Установил nginx и pf, занес ддос хосты в таблицу блокированых.

/etc/pf.conf

Код: Выделить всё

ext_if="em0"
icmp_types = "echoreq"
table <ddos> persist file "/var/db/ddosips"
block all
pass quick on lo0 all
pass out quick from self to any keep state
pass quick inet proto icmp from any to any icmp-type $icmp_types keep state
block in quick on $ext_if proto tcp from <ddos> to ($ext_if) port 80
pass in quick on $ext_if proto tcp to ($ext_if) port {80,443} flags S/SA keep state
pass in quick proto tcp to self port 22 flags S/SA keep state
/var/db/ddosips

Код: Выделить всё

79.172.82.146
87.228.121.222
189.11.102.16
190.138.146.33
200.102.1.155
201.11.52.178
201.15.210.154
Вот так выглядит сейчас загрузка.

Код: Выделить всё

last pid:  1184;  load averages:  0.14,  0.24,  0.14  up 0+00:05:51  16:22:15
43 processes:  1 running, 42 sleeping
CPU states:  2.3% user,  0.0% nice,  0.0% system,  0.0% interrupt, 97.7% idle
Mem: 91M Active, 39M Inact, 167M Wired, 520K Cache, 97M Buf, 7614M Free
Swap: 16G Total, 16G Free

  PID USERNAME       THR PRI NICE   SIZE    RES STATE  C   TIME   WCPU COMMAND
  906 www              1   4    0   140M 20340K accept 0   0:03  1.56% httpd
  904 www              1   4    0   140M 20284K accept 0   0:04  1.07% httpd
  922 www              1   4    0   140M 20224K accept 2   0:03  1.07% httpd
  930 www              1   4    0   140M 20060K accept 0   0:03  0.88% httpd
  899 www              1   4    0   140M 20464K accept 0   0:03  0.68% httpd
  916 www              1   4    0   140M 20296K accept 1   0:03  0.68% httpd
  915 www              1   4    0   140M 20204K accept 3   0:03  0.29% httpd
  928 www              1   4    0   140M 20256K accept 0   0:03  0.20% httpd
  923 www              1   4    0   139M 19292K accept 0   0:03  0.20% httpd
  935 www              1   4    0   140M 20224K accept 1   0:04  0.00% httpd
  931 www              1   4    0   140M 20348K accept 0   0:04  0.00% httpd
  912 www              1   4    0   140M 20284K accept 1   0:03  0.00% httpd
  911 www              1   4    0   139M 19284K accept 1   0:03  0.00% httpd
  909 www              1   4    0   140M 20124K accept 1   0:03  0.00% httpd
  900 www              1   4    0   139M 19292K accept 0   0:03  0.00% httpd
  907 www              1   4    0   139M 19316K accept 2   0:03  0.00% httpd
  901 www              1   4    0   140M 20168K accept 2   0:03  0.00% httpd
  932 www              1   4    0   139M 19452K accept 0   0:03  0.00% httpd
  925 www              1   4    0   140M 20172K accept 1   0:03  0.00% httpd
  921 www              1   4    0   140M 20280K accept 2   0:03  0.00% httpd
  795 www              1   4    0  9500K  4640K kqread 1   0:02  0.00% nginx
  796 www              1   4    0  8476K  3416K kqread 1   0:01  0.00% nginx
  815 root             1  44    0   138M 16204K select 3   0:00  0.00% httpd
  951 volodymyr        1  44    0  7656K  2276K CPU0   0   0:00  0.00% top
  832 root             1  44    0 10576K  4104K select 0   0:00  0.00% sendmail
  943 root             1   4    0 32936K  4528K sbwait 1   0:00  0.00% sshd
  946 volodymyr        1  44    0 32936K  4576K select 3   0:00  0.00% sshd
  667 root             1  44    0  4684K  1352K select 0   0:00  0.00% syslogd
  948 volodymyr        1  20    0  9616K  2708K pause  3   0:00  0.00% csh
  887 root             1   5    0  4668K  1200K ttyin  2   0:00  0.00% getty
  884 root             1   5    0  4668K  1200K ttyin  0   0:00  0.00% getty
  889 root             1   5    0  4668K  1200K ttyin  0   0:00  0.00% getty
  886 root             1   5    0  4668K  1200K ttyin  2   0:00  0.00% getty
  891 root             1   5    0  4668K  1200K ttyin  0   0:00  0.00% getty
  890 root             1   5    0  4668K  1200K ttyin  1   0:00  0.00% getty
  885 root             1   5    0  4668K  1200K ttyin  2   0:00  0.00% getty
  888 root             1   5    0  4668K  1200K ttyin  3   0:00  0.00% getty
  842 root             1   8    0  5736K  1396K nanslp 0   0:00  0.00% cron
  827 root             1  44    0 20960K  3764K select 3   0:00  0.00% sshd
  836 smmsp            1  20    0 10576K  3848K pause  1   0:00  0.00% sendmail
  794 root             1  20    0  7452K  2064K pause  1   0:00  0.00% nginx
  609 root             1  44    0  1616K   628K select 0   0:00  0.00% devd
  732 root             1   4    0 10812K  1788K accept 1   0:00  0.00% vsftpd
Рекорд по load averages: 79.05

Всем спасибо. В особенносте paix за финальный конфига pf и http://house.hcn-strela.ru/BSDCert/BSDA-course/apc.html

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение paix » 2009-02-06 18:08:30

:)
финальный это громко сказано, это минимальный набор, позволяющий прилично жить.

на счет ddos table идея в том чтобы вносить туда айпишники динамически, скриптами.

в апаче keepalive лучше отключить (т.к. сейчас нжинкс на фронте занимается обслуживаним tcp сессий клиентов.)

На счет конфига нжинкс: вариант все проксировать на апаче часто подходит и уже дает много результата, только высокопосещаемые хосты можно выносить в отдельный конфиг.
Но никто не запрещает для каждого вхоста иметь отдельный конфиг в нжинксе - это можно сделать путем генерирования конфигов из скриптов.
With best wishes, Sergej Kandyla

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-03-02 17:53:29

В процессе роботы nginx периодически выдает

502 Bad Gateway
nginx/0.6.35

Чего ему не хватает?

nginx.conf

Код: Выделить всё

user www;
worker_processes  2;

error_log  /var/log/nginx-error.log;

pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] $request '
                      '"$status" $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx-access.log  main;
    sendfile        on;
    keepalive_timeout  150;
    gzip  on;

    server {
        listen       ххх.ххх.ххх.:80;
        server_name  localhost;

        location / {
            #client_max_body_size  20M;

            proxy_pass http://127.0.0.1:80;сыпит
            proxy_redirect off;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

            proxy_connect_timeout      90;
            proxy_send_timeout         90;
            proxy_send_lowat           12000;
            proxy_buffer_size          4k;
            proxy_buffers              4 32k;
            proxy_busy_buffers_size    64k;
            proxy_temp_file_write_size 64k;
            proxy_temp_path            /var/tmp/nginx;
        }
    }
}

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Alex Keda » 2009-03-02 22:32:07

мда исчо один туда же =))
ему бакэнда работающего нехватает.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-03-03 10:44:49

Чего именно увеличить бекенду? Сейчас конфигурация такая:

Код: Выделить всё

ServerRoot "/usr/local"
Listen 127.0.0.1:80
PidFile /var/run/httpd.pid
ScoreBoardFile /var/run/httpd.scoreboard
Timeout 600
KeepAlive Off
MaxKeepAliveRequests 120
KeepAliveTimeout 10
MinSpareServers 10
MaxSpareServers 20
StartServers 15
ServerLimit 500
MaxClients 500
MaxRequestsPerChild 5000

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение paix » 2009-03-03 12:06:41

в еррор логах нжинкса может проскакивать, на каком обращении к бекенду, последний не ответил.
и смотри логи апача и httpd-status.
With best wishes, Sergej Kandyla

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-03-03 12:49:21

tail -c 10000 /var/log/nginx-error.log

Код: Выделить всё

2009/03/03 11:34:25 [crit] 13005#0: *63752517 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 93.178.212.125, server: localhost, request: "GET /forum/styles/prosilver/imageset/icon_contact_icq.gif HTTP/1.1", upstream: "http://127.0.0.1:80/forum/styles/prosilver/imageset/icon_contact_icq.gif", host: "airsoft.com.ua", referrer: "http://airsoft.com.ua/forum/ucp.php?i=pm&mode=view&f=0&p=273349"
2009/03/03 11:34:25 [crit] 13005#0: *63752602 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 93.178.212.125, server: localhost, request: "GET /forum/styles/prosilver/imageset/icon_back_top.gif HTTP/1.1", upstream: "http://127.0.0.1:80/forum/styles/prosilver/imageset/icon_back_top.gif", host: "airsoft.com.ua", referrer: "http://airsoft.com.ua/forum/ucp.php?i=pm&mode=view&f=0&p=273349"
2009/03/03 11:34:25 [crit] 13005#0: *63752569 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 93.178.212.125, server: localhost, request: "GET /forum/styles/prosilver/theme/images/arrow_right.gif HTTP/1.1", upstream: "http://127.0.0.1:80/forum/styles/prosilver/theme/images/arrow_right.gif", host: "airsoft.com.ua", referrer: "http://airsoft.com.ua/forum/ucp.php?i=pm&mode=view&f=0&p=273349"
2009/03/03 11:34:25 [crit] 13004#0: *63747626 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 80.91.181.26, server: localhost, request: "GET /forum/favicon.ico HTTP/1.1", upstream: "http://127.0.0.1:80/forum/favicon.ico", host: "militarist.com.ua"
2009/03/03 11:34:25 [crit] 13005#0: *63754058 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 94.179.141.196, server: localhost, request: "GET /www/delivery/ajs.php?zoneid=8&charset=UTF-8&cb=10522780311&charset=UTF-8&loc=http%3A//airsoft.com.ua/forum/viewtopic.php%3Ff%3D67%26t%3D4424%26start%3D900&referer=http%3A//airsoft.com.ua/forum/viewforum.php%3Ff%3D67&mmm_fo=1 HTTP/1.1", upstream: "http://127.0.0.1:80/www/delivery/ajs.php?zoneid=8&charset=UTF-8&cb=10522780311&charset=UTF-8&loc=http%3A//airsoft.com.ua/forum/viewtopic.php%3Ff%3D67%26t%3D4424%26start%3D900&referer=http%3A//airsoft.com.ua/forum/viewforum.php%3Ff%3D67&mmm_fo=1", host: "rotor.nucleart.net", referrer: "http://airsoft.com.ua/forum/viewtopic.php?f=67&t=4424&start=900"
2009/03/03 11:34:25 [crit] 13005#0: *63752620 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 93.178.212.125, server: localhost, request: "GET /www/delivery/ajs.php?zoneid=8&charset=UTF-8&cb=4735075216&charset=UTF-8&loc=http%3A//airsoft.com.ua/forum/ucp.php%3Fi%3Dpm%26mode%3Dview%26f%3D0%26p%3D273349&referer=http%3A//airsoft.com.ua/forum/ucp.php%3Fi%3Dpm%26folder%3Dinbox&mmm_fo=1 HTTP/1.1", upstream: "http://127.0.0.1:80/www/delivery/ajs.php?zoneid=8&charset=UTF-8&cb=4735075216&charset=UTF-8&loc=http%3A//airsoft.com.ua/forum/ucp.php%3Fi%3Dpm%26mode%3Dview%26f%3D0%26p%3D273349&referer=http%3A//airsoft.com.ua/forum/ucp.php%3Fi%3Dpm%26folder%3Dinbox&mmm_fo=1", host: "rotor.nucleart.net", referrer: "http://airsoft.com.ua/forum/ucp.php?i=pm&mode=view&f=0&p=273349"
2009/03/03 11:34:25 [crit] 13004#0: *63757707 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 93.72.56.204, server: localhost, request: "GET /teams/neshrei_hamidbar HTTP/1.1", upstream: "http://127.0.0.1:80/teams/neshrei_hamidbar", host: "airsoft.com.ua", referrer: "http://www.google.com/search?hl=ru&client=opera&rls=ru&hs=Gyl&q=%D0%BA%D0%BE%D0%BC%D0%B0%D0%BD%D0%B4%D0%B0+%D0%9E%D1%80%D0%BB%D1%8B+%D0%BF%D1%83%D1%81%D1%82%D1%8B%D0%BD%D0%B8&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr="
2009/03/03 11:34:25 [crit] 13004#0: *63752863 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 194.105.144.162, server: localhost, request: "GET /product/4139 HTTP/1.1", upstream: "http://127.0.0.1:80/product/4139", host: "sturm.com.ua", referrer: "http://sturm.com.ua/group/3739"
2009/03/03 11:34:25 [crit] 13004#0: *63757710 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 80.94.160.202, server: localhost, request: "GET /pictures/catalogue/small/7677.jpg HTTP/1.0", upstream: "http://127.0.0.1:80/pictures/catalogue/small/7677.jpg", host: "shop.militarist.com.ua", referrer: "http://shop.militarist.com.ua/group/3847"
2009/03/03 11:34:25 [crit] 13004#0: *63752796 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 94.27.116.132, server: localhost, request: "GET /group/3908 HTTP/1.1", upstream: "http://127.0.0.1:80/group/3908", host: "shop.militarist.com.ua", referrer: "http://shop.militarist.com.ua/group/14"
2009/03/03 11:34:25 [crit] 13004#0: *63750725 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 82.207.25.222, server: localhost, request: "GET /pictures/catalogue/small/221.jpg HTTP/1.1", upstream: "http://127.0.0.1:80/pictures/catalogue/small/221.jpg", host: "shop.militarist.com.ua", referrer: "http://shop.militarist.com.ua/group/1119"
2009/03/03 11:34:26 [crit] 13004#0: *63757716 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 80.94.160.202, server: localhost, request: "GET /pictures/catalogue/small/7676.jpg HTTP/1.0", upstream: "http://127.0.0.1:80/pictures/catalogue/small/7676.jpg", host: "shop.militarist.com.ua", referrer: "http://shop.militarist.com.ua/group/3847"
2009/03/03 11:34:26 [crit] 13004#0: *63756985 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 62.80.178.178, server: localhost, request: "GET /www/delivery/ajs.php?zoneid=9&cb=61878659680&charset=utf-8&loc=http%3A//militarist.com.ua/forum/viewforum.php%3Ff%3D13%26sid%3Df7234f7b3818fb207604be3b0c351a76&referer=http%3A//militarist.com.ua/forum/ HTTP/1.0", upstream: "http://127.0.0.1:80/www/delivery/ajs.php?zoneid=9&cb=61878659680&charset=utf-8&loc=http%3A//militarist.com.ua/forum/viewforum.php%3Ff%3D13%26sid%3Df7234f7b3818fb207604be3b0c351a76&referer=http%3A//militarist.com.ua/forum/", host: "rotor.nucleart.net", referrer: "http://militarist.com.ua/forum/viewforum.php?f=13&sid=f7234f7b3818fb207604be3b0c351a76"
2009/03/03 11:34:26 [crit] 13004#0: *63756985 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 62.80.178.178, server: localhost, request: "GET /www/delivery/ajs.php?zoneid=10&charset=UTF-8&cb=62612271219&charset=UTF-8&loc=http%3A//militarist.com.ua/forum/viewforum.php%3Ff%3D13%26sid%3Df7234f7b3818fb207604be3b0c351a76&referer=http%3A//militarist.com.ua/forum/ HTTP/1.0", upstream: "http://127.0.0.1:80/www/delivery/ajs.php?zoneid=10&charset=UTF-8&cb=62612271219&charset=UTF-8&loc=http%3A//militarist.com.ua/forum/viewforum.php%3Ff%3D13%26sid%3Df7234f7b3818fb207604be3b0c351a76&referer=http%3A//militarist.com.ua/forum/", host: "rotor.nucleart.net", referrer: "http://militarist.com.ua/forum/viewforum.php?f=13&sid=f7234f7b3818fb207604be3b0c351a76"
2009/03/03 11:34:26 [crit] 13004#0: *63757474 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 194.187.155.170, server: localhost, request: "GET /group/1092 HTTP/1.0", upstream: "http://127.0.0.1:80/group/1092", host: "shop.militarist.com.ua", referrer: "http://shop.militarist.com.ua/group/14"
2009/03/03 11:34:26 [crit] 13004#0: *63757720 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 80.94.160.202, server: localhost, request: "GET /pictures/catalogue/small/3375.jpg HTTP/1.0", upstream: "http://127.0.0.1:80/pictures/catalogue/small/3375.jpg", host: "shop.militarist.com.ua", referrer: "http://shop.militarist.com.ua/group/3847"
2009/03/03 11:34:26 [crit] 13005#0: *63757731 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 80.94.160.202, server: localhost, request: "GET /pictures/catalogue/small/8101.jpg HTTP/1.0", upstream: "http://127.0.0.1:80/pictures/catalogue/small/8101.jpg", host: "shop.militarist.com.ua", referrer: "http://shop.militarist.com.ua/group/3847"
2009/03/03 11:34:26 [crit] 13005#0: *63757732 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 80.94.160.202, server: localhost, request: "GET /pictures/catalogue/small/8102.jpg HTTP/1.0", upstream: "http://127.0.0.1:80/pictures/catalogue/small/8102.jpg", host: "shop.militarist.com.ua", referrer: "http://shop.militarist.com.ua/group/3847"
2009/03/03 11:34:26 [crit] 13005#0: *63757735 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 193.110.189.200, server: localhost, request: "GET /www/delivery/lg.php?bannerid=2&campaignid=1&zoneid=7&channel_ids=,&loc=http%3A%2F%2Fairsoft.com.ua%2Fforum%2Fposting.php%3Fmode%3Dreply%26f%3D97%26t%3D18980&referer=http%3A%2F%2Fairsoft.com.ua%2Fforum%2Fviewtopic.php%3Ff%3D97%26t%3D18980%26p%3D315075&cb=58f9d6b727 HTTP/1.0", upstream: "http://127.0.0.1:80/www/delivery/lg.php?bannerid=2&campaignid=1&zoneid=7&channel_ids=,&loc=http%3A%2F%2Fairsoft.com.ua%2Fforum%2Fposting.php%3Fmode%3Dreply%26f%3D97%26t%3D18980&referer=http%3A%2F%2Fairsoft.com.ua%2Fforum%2Fviewtopic.php%3Ff%3D97%26t%3D18980%26p%3D315075&cb=58f9d6b727", host: "rotor.nucleart.net", referrer: "http://airsoft.com.ua/forum/posting.php?mode=reply&f=97&t=18980"
2009/03/03 11:34:26 [crit] 13005#0: *63757737 connect() to 127.0.0.1:80 failed (1: Operation not permitted) while connecting to upstream, client: 67.195.37.119, server: localhost, request: "GET /product/7060 HTTP/1.0", upstream: "http://127.0.0.1:80/product/7060", host: "shop.militarist.com.ua"
Это оно?

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение paix » 2009-03-03 13:10:47

http://www.google.com.ua/search?hl=ru&q ... оиск&meta=

попробуй в начало pf после макросов добавить

Код: Выделить всё

set limit { states 10000, frags 5000 }
set timeout { adaptive.start 6000, adaptive.end 12000 }
set skip on { lo0 }
потом попробовать.

Если будет продолжаться, то заменить правило с keep-state на

Код: Выделить всё

pass in quick on $ext_if proto tcp  to  ($ext_if) port  {80,443} flags S/SA synproxy state
With best wishes, Sergej Kandyla

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-03-03 13:20:20

Сделал сейчас:

Код: Выделить всё

xt_if="em0"
icmp_types = "echoreq"
table <ddos> persist file "/var/db/ddosips"

set limit { states 10000, frags 5000 }
set timeout { adaptive.start 6000, adaptive.end 12000 }
set skip on { lo0 }

block all
pass quick on lo0 all
pass out quick from self to any keep state

pass quick inet proto icmp from any to any icmp-type $icmp_types keep state
block in quick on $ext_if proto tcp from <ddos> to ($ext_if) port 80
pass in quick on $ext_if proto tcp to ($ext_if) port {80,443} flags S/SA keep state
pass in quick proto tcp to self port 22 flags S/SA keep state
pass in on $ext_if proto tcp from any to any port 20 keep state
pass in on $ext_if proto tcp from any to any port 21 keep state
pass in on $ext_if proto tcp from any to any port > 49151 \
   keep state
Жду.

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-03-04 13:31:55

Пока полет нормальный. Из того что осталось в ерорах так єто:

Код: Выделить всё

2009/03/03 21:54:17 [error] 13004#0: accept() failed (53: Software caused connection abort) while accepting new connection on ххх.ххх.ххх.ххх:80
Но насколько ясно из http://sysoev.ru/nginx/docs/faq.html "Это некритическая ошибка..." :smile:

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение paix » 2009-03-04 13:42:58

Software caused connection abort - это клиент оборвал загрузку. Это мелочи.

synproxy также можеш попробовать. Оно однозначно полезно, просто требует более тонкого понимания, и часто дополнительных настроек, типа set skip on {lo}
http://house.hcn-strela.ru/BSDCert/BSDA ... e-synproxy
With best wishes, Sergej Kandyla

Аватара пользователя
Volodymyr
лейтенант
Сообщения: 614
Зарегистрирован: 2008-06-17 16:04:56
Откуда: Ukraine, Lviv
Контактная информация:

Re: Apache перегружен

Непрочитанное сообщение Volodymyr » 2009-03-04 15:33:18

Что-то типа такого?

Код: Выделить всё

pass in on $ext_if proto tcp from any to (внешний ІР) port 80 \
    flags S/SA synproxy state
А относительно set skip я так понимаю речь идет о фильтре для спуфинга ?