Hej Bieniu,
czy podzielisz się informacją jak zakończyła się sprawa z tym atakiem
ddos - czy squid załatwił sprawę?
On Thu, 9 Feb 2006, Marek Wyrzykowski wrote:
Dobre i trafne Twoje pytanie to, czy squid da radę obsłużyć milion
hitów/24h. Kto wie niech się odezwie :-)
Znalazłem na stronie
Witaj Marek,
W Twoim liście datowanym 24 lutego 2006 (12:42:18) można przeczytać:
Znalazłem na stronie ... squida testy
(http://www.squid-cache.org/Benchmarking/), z których wynika, że podwójny
Pentium III 550Mhz (ale z FreeBSD) był wstanie obsłużyć nawet 480
zapytań/sek w szczycie, a przez
06-02-14, Szymon Nieradka [EMAIL PROTECTED] napisał(a):
Marek Wyrzykowski napisał(a):
Paweł Tęcza napisał(a):
Pytanie tylko, czy squid obsluzy milion hitow dziennie, skoro Apache
sobie nie poradzil z taka ich liczba... Poza tym kolejna usluga to
przeciez zuzycie kolejnych zasobow.
Witaj bieniu,
W Twoim liście datowanym 10 lutego 2006 (20:33:08) można przeczytać:
kurcze proboje dac squida jako transparent accel dla apacha - sytuacja
wyglada tak:
serwer apache chodzi na porcie 80 i ma wirtualki porobione
domene www.domena2.pl skierowalem na ip_nr2 (ip2 jest podniesione
na
bieniu gras napisał(a):
Access Denied.
Access control configuration prevents your request from being allowed at this
time.
Please contact your service provider if you feel this is incorrect.
hello,
A co Tobie odpowiada telnet na ip2:80 z serwera na którym jest squid
... apache
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (14:59:45) można przeczytać:
A co Tobie odpowiada telnet na ip2:80 z serwera na którym jest squid
... apache czy squid ??
no odpowiada mi squid jak w poprzednim mailu podawalem tyle ze podaje
mi access denied nie wiem dlaczego
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (14:59:45) można przeczytać:
A co Tobie odpowiada telnet na ip2:80 z serwera na którym jest squid
... apache czy squid ??
a przepraszam nie zauwazylem ze mialo byc na tej samej maszynie co
squid i apache:
tam telnecik daje to:
~#
bieniu gras napisał(a):
H1Forbidden/H1
You don't have permission to access /
on this server.P
HR
ADDRESSApache/1.3.34 Server at ip2 Port 80/ADDRESS
/BODY/HTML
Connection closed by foreign host.
hmmm dlaczego 403 ??? skoro virtualka na ip2 jest skonfigurowana
odpowiednio ???
prawa
bieniu gras napisał(a):
zmienilem virtualke na glowna domene i po telnecie idzie do strony jak
powinno wiec to nie jest kwestia apacha - jest wszystko ok ale squid
ciagle z zewnatrz jak sie wchodzi mi daje access denied
TCP_DENIED/403 1406 GET http://ip2/
a w przegladarce mam komunikat
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (15:55:07) można przeczytać:
czy IP_wirtualki != IP_głównej_domeny ??? Jeśli tak to czemu squid
odwołuje się do ip2, a nie do ip_głównej_domeny ??
ip wirtualki = ip2
glowna domena to ip1
squid nasluchuje na ip2, jest przekierowanie
Witaj bieniu,
W Twoim liście datowanym 13 lutego 2006 (16:13:36) można przeczytać:
caly czas squid jakos mi podaje access denied cholera, moze to kwestia
innych jego ustawien jakis ACL z accessem ?
JASNA CHOLERA KURNA NO :d nie zauwazylem
bylo:
# Only allow cachemgr access from
bieniu gras napisał(a):
http_access allow all - i z tym poszlo wszystko - rozumiem ze tak
powinno to wygladac jesli mam zamiar akcelerowac serwer httpd
wpuszczac wszystkich ???
proponuję raczej
acl okdomains domena1.cus domena2.cus itd... :-)
http_access deny !okdomains
http_access
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (16:38:48) można przeczytać:
proponuję raczej
acl okdomains domena1.cus domena2.cus itd... :-)
http_access deny !okdomains
http_access allow all
ten zapis powoduje mi
Bungled squid.conf line 1871: acl okdomains wena.net
i potem squid
bieniu gras napisał(a):
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (16:38:48) można przeczytać:
proponuję raczej
acl okdomains domena1.cus domena2.cus itd... :-)
http_access deny !okdomains
http_access allow all
ten zapis powoduje mi
Bungled squid.conf line 1871: acl
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (17:07:03) można przeczytać:
bieniu gras napisał(a):
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (16:38:48) można przeczytać:
proponuję raczej
acl okdomains domena1.cus domena2.cus itd... :-)
http_access deny !okdomains
bieniu gras napisał(a):
pozostaje jeszcze jedna kwestia :) teoretyczna ktora zostanie
przetestowana :) otoz mam tez w konfigu:
acl pliki_wormy urlpath_regex /etc/squid/pliki_wormy
http_access deny pliki_wormy
Co do tych plików to bym ich nie blokował, wręcz przeciwnie :-). Niech
squid na
Witaj Marek,
W Twoim liście datowanym 13 lutego 2006 (19:43:23) można przeczytać:
Co do tych plików to bym ich nie blokował, wręcz przeciwnie :-). Niech
squid na życzenie podaje te pliki i niech będę (co raczej oczywiste) o
zerowej długości. Pięknie zmieszczą się w RAMie.
ok sproboje :)
Marek Wyrzykowski napisał(a):
Paweł Tęcza napisał(a):
Pytanie tylko, czy squid obsluzy milion hitow dziennie, skoro Apache
sobie nie poradzil z taka ich liczba... Poza tym kolejna usluga to
przeciez zuzycie kolejnych zasobow.
Dobre i trafne Twoje pytanie to, czy squid da radę obsłużyć
Witaj bieniu,
W Twoim liście datowanym 9 lutego 2006 (21:56:51) można przeczytać:
dobra to sproboje ustawic squida jak na razie mam tak:
dalem przekierowanie iptablesami:
iptables -t nat -A PREROUTING -i eth0 -p tcp -d
ip_na_ktorym_bedzie_domena --dport 80 -j DNAT --to 127.0.0.1:3128
squid na
bieniu gras napisał(a):
iptables -L -v -t nat
Chain PREROUTING (policy ACCEPT 6163K packets, 350M bytes)
pkts bytes target prot opt in out source
destination
93 5580 DNAT tcp -- eth0 any anywhere
ip_na_ktorym_jest_domena2tcp dpt:www
Witaj Marek,
W Twoim liście datowanym 10 lutego 2006 (17:43:43) można przeczytać:
Tak naprawdę to powinieneś zrobić REDIRECTa na squida, Po PREROUTINGu
masz łańcuch INPUT, w którym dodatkowo trzeba otworzyć dostęp do squida.
Proponuję coś następującego:
iptables -t nat -I PREROUTING
Witam,
Dnia czw, lut 09, 2006 at 09:24:32 +0100, bieniu gras napisał:
Witaj Marcin,
W Twoim liście datowanym 9 lutego 2006 (07:21:33) można przeczytać:
Może wyłącz access.log/error.log dla tej domeny, to powinno go trochę
odciążyć.
sporoboje bo logi rosly niesamowicie :)
POlecam
On Wed, Feb 08, 2006 at 05:34:20PM +0100, Robert PaneQ! Pankowecki (rupert)
wrote:
Dnia 08-02-2006, śro o godzinie 14:34 +0100, bieniu gras napisał(a):
dawalem pliki 0 bajtow ale tu nie chodzi o ddos na lacze - wysysa to
bardzo malo lacza, problem lezy w tym ze apache sie nie wyrabia :)))
A
witam
a mod_evasive
testowales?
wyglada iz powinien przynajmniej w jakims stopniu pomoc.
pozdrawiam i powodzenia
jr
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
my_photo.zip
hello,
Chcę zaproponować rozważania czysto teoretyczne. Nie sprawdziłem tego
osobiście, ale może pomoże :-).
W przypadku znacznego obciążenia serwera www, stawia się przed nim
serwer cacheujący. W związku z tym treści stałe nie muszą podawane przez
apache'a, dzięki czemu serwer
cacheujący. W związku z tym treści stałe nie muszą podawane przez
apache'a, dzięki czemu serwer www ma czas na zajmowanie się ważniejszymi
rzeczami.
Proponuję dlatego uruchomić choćby squida (nawet na tym samym kompie co
apache) i tak go skonfigurować, aby wziął na siebie obsługę podawania
w/w
serwera www, stawia się przed nim
serwer cacheujący. W związku z tym treści stałe nie muszą podawane przez
apache'a, dzięki czemu serwer www ma czas na zajmowanie się ważniejszymi
rzeczami.
Proponuję dlatego uruchomić choćby squida (nawet na tym samym kompie co
apache) i tak go
Michał Prokopiuk napisał(a):
Jak najbardziej ma sens - odciaza apacza :). Wymyslilem teraz tez, ze
ale czy problem wydajności nie przeniesie się na squida ??. Czy da on
radę i czy się nie wywali, odcinając tym samym dostęp do wszystkich
domen na tym serwerze ? Może ktoś wie jak jak z
Paweł Tęcza napisał(a):
Jak najbardziej ma sens - odciaza apacza :).
Pytanie tylko, czy squid obsluzy milion hitow dziennie, skoro Apache
sobie nie poradzil z taka ich liczba... Poza tym kolejna usluga to
przeciez zuzycie kolejnych zasobow.
Zasobami w tym przypadku bym sie nie
Witaj Michał,
W Twoim liście datowanym 9 lutego 2006 (14:36:07) można przeczytać:
Jak najbardziej ma sens - odciaza apacza :). Wymyslilem teraz tez, ze
mozna by reguulkami mod_rewrite kierowac zapytania gdzies w kosmos, no
ale to znowu angazuje apacza. Ale w przypadku apaczy trzech (pisalem
Witam,
Dnia czw, lut 09, 2006 at 02:54:46 +0100, Paweł Tęcza napisał:
Ale w przypadku apaczy trzech (pisalem o tym w poprzednim mailu)
obciazenie sztuki zdecydowania spada.
Z tego co Bieniu pisał wyżej największym problemem był limit połaczeń w
ramach jednego apacza. Poza tym apacz zuzywa
Witaj Michał,
W Twoim liście datowanym 9 lutego 2006 (15:39:29) można przeczytać:
Z tego co Bieniu pisał wyżej największym problemem był limit połaczeń w
ramach jednego apacza. Poza tym apacz zuzywa mniej zasobow
niz squid...
ale mysle o squidzie ktory by tylko blokowal te 3 wywolania hmmm
Z tego co Bieniu pisał wyżej największym problemem był limit połaczeń
w
ramach jednego apacza. Poza tym apacz zuzywa mniej zasobow
niz squid...
ale mysle o squidzie ktory by tylko blokowal te 3 wywolania hmmm
Witam
A ja jednak pomyślałbym jednak nad iptables - wydaje mi sie jednak, że
Witaj Artur,
W Twoim liście datowanym 9 lutego 2006 (18:45:36) można przeczytać:
Z tego co Bieniu pisał wyżej największym problemem był limit połaczeń
w
ramach jednego apacza. Poza tym apacz zuzywa mniej zasobow
niz squid...
ale mysle o squidzie ktory by tylko blokowal te 3 wywolania
bieniu gras [EMAIL PROTECTED] wrote:
Witaj Artur,
W Twoim liście datowanym 9 lutego 2006 (18:45:36) można przeczytać:
Z tego co Bieniu pisał wyżej największym problemem był limit
połaczeń
w
ramach jednego apacza. Poza tym apacz zuzywa mniej zasobow
niz squid...
ale mysle o squidzie
Witaj Artur,
W Twoim liście datowanym 9 lutego 2006 (21:01:57) można przeczytać:
Fakt - nie pomyślałem, że to otworzy połączenie do apacha, ale przećwicz to
w praktyce - czy po zwiększeniu conn_limit i spare_servers, apache nie
poradzi sobie z otwieranymi połączeniami.
juz podawalem moja
/custom/update/query.html?filter=allnh=10hitsceil=100st=1context=gbhqt=wena.net
oczywiscie idzie to tylko na jedna domene i to dokladnie na
www.wena.net a nie wena.net
oczywiscie rezultat jest taki ze tysiace komputerkow zarazonych chce
te pliki a moj serwer www odpowiada bledem 404
powiem tylko
jest taki ze tysiace komputerkow zarazonych chce
te pliki a moj serwer www odpowiada bledem 404
A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te
wlasnie pliki o zerowej dlugosci? ;) Na pewno zmniejszyloby to ruch
w sieci.
czy znacie jakas mozliwosc jeszcze jakby nad tym ddosem
pobierac:
Ale ktos mial wene... Przyjmij moje wyrazy wspolczucia ;)
oczywiscie rezultat jest taki ze tysiace komputerkow zarazonych chce
te pliki a moj serwer www odpowiada bledem 404
A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te
wlasnie pliki o zerowej dlugosci? ;) Na pewno
On Wed, Feb 08, 2006 at 02:34:23PM +0100, bieniu gras wrote:
Witaj Paweł,
W Twoim liście datowanym 8 lutego 2006 (12:09:06) można przeczytać:
[...]
A moze zamiast serwowac komunikat bledu 40x moglbys udostepniac te
wlasnie pliki o zerowej dlugosci? ;) Na pewno zmniejszyloby to ruch
w
Dnia 08-02-2006, śro o godzinie 14:34 +0100, bieniu gras napisał(a):
dawalem pliki 0 bajtow ale tu nie chodzi o ddos na lacze - wysysa to
bardzo malo lacza, problem lezy w tym ze apache sie nie wyrabia :)))
za duzo tego idzie milion hitow dziennie :P normalnie jakbym mial
jakis portal
A może
Witaj Robert,
W Twoim liście datowanym 8 lutego 2006 (17:34:20) można przeczytać:
A może zwiększyć liczbę wątków / procesów dla apache, jeśli można,
pamiętam, że dla serwera ntfs jest to możliwe więc może apach też takie
coś oferuje, może wtedy lepiej by się wyrabiał ? :-)
to stosowalem na
On Wed, Feb 08, 2006 at 11:09:47AM +0100, bieniu gras wrote:
powiem tylko ze dziennie mam 1 mln hitow w www.wena.net a odwiedzin
200 tysiecy :D to naprawde zabija apacha nawet ustawionego na 256
maxcon
Może wyłącz access.log/error.log dla tej domeny, to powinno go trochę
odciążyć.
Marcin
--
Chcialbym zainstalowac jakis darmowy antywir na swoim serwerze www/mail. Macie
jakies sugestie? Cos transparentnego, co nie bylo by wielce skomplikowane w
konfiguracji/administracji
--
Mateusz Kurleto aka Fuzzy
mailto:fuzzy[at]neostrada[dot]pl gg: 310535
Dnia 2004-07-07 13:41 użytkownik Mateusz Kurleto napisał :
Chcialbym zainstalowac jakis darmowy antywir na swoim serwerze www/mail. Macie
jakies sugestie? Cos transparentnego, co nie bylo by wielce skomplikowane w
konfiguracji/administracji
Ja używam f-prot - jest bardzo dobry, poza tym
Witam,
Mam router do SDI/polpaka (w zależności od tego co akurat tpsa daje) na
freesco i chciałbym go zostawić
postawiłem serwer www na debianie kontaktujący się przez lan z inetem
pytanie;
1.jak i gdzie zapisać ustawienia do serwera w tej sytuacji ,tzn
a/ (chyba) wyłączam serwer www na freesco
b
Dnia Mon, Feb 24, 2003 at 12:09:35PM +0100, pros napisał(a):
Witam,
Witam
1.jak i gdzie zapisać ustawienia do serwera w tej sytuacji ,tzn
a/ (chyba) wyłączam serwer www na freesco
Raczej tak ;-)
b/ ustawiam adres ip i nazwę pxxx.sdi.miasto.tpsa.pl na debie
Nie, wystarczy, że na Freesco
47 matches
Mail list logo
