https://www.opennet.me/openforum/vsluhforumID3/91886.html Для http-сервера nginx подготовлен (http://flant.ru/projects/nginx-http-rdns) модуль nginx-http-rdns (https://github.com/flant/nginx-http-rdns) с реализацией поддержки механизма контроля доступа по доменному имени клиента. Изначально nginx позволяет использовать в правилах только IP-адрес клиента, с которого поступил запрос. Представленный модуль с помощью rDNS-запроса выполняет преобразование IP в доменное имя и даёт возможность использования определённого имени хоста в правилах nginx. Например, можно сформировать простые списки контроля доступа на основе доменного имени, которые могут оказаться полезными при организации защиты от DDoS-атак или формирования списка исключений.<br><br><br>URL: http://flant.ru/projects/nginx-http-rdns<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=38008<br> https://www.opennet.me/openforum/vsluhforumID3/91886.html#21 Mon, 30 Sep 2013 10:17:16 GMT бгг, про DDoS - фантазии автора новости конечно :) но модуль может пригодиться, например чтобы зарубить на nginx'е тех, кто прикидывается яндекс ботом, но таковым не является :)<br> https://www.opennet.me/openforum/vsluhforumID3/91886.html#20 Sun, 29 Sep 2013 10:56:09 GMT Пример из жизни &#8212; идёт вялый, но постоянный DDoS на кучу веб-сайтов. Особо рьяные-очевидные IP-адреса блокируются firewall'ом, &#171;средние&#187; &#8212; прогоняются через nginx с testcookie+rdns: хорошие IP-адреса (с хостами, определившимися как yandex/google/etc) пропускаются без ограничений, на доступ для остальных накладывается ограничение по количеству подключений в минуту + могут быть дополнительные проверки.<br> https://www.opennet.me/openforum/vsluhforumID3/91886.html#19 Sat, 28 Sep 2013 22:20:45 GMT Что за степень определенная? Пример?<br> https://www.opennet.me/openforum/vsluhforumID3/91886.html#18 Sat, 28 Sep 2013 13:57:49 GMT &gt; Эх, дуэль Ареафиксов, я скучал по тебе! :) <br><br>Детство вернулось =)<br><br> https://www.opennet.me/openforum/vsluhforumID3/91886.html#17 Sat, 28 Sep 2013 13:13:27 GMT &gt; Наверное, расчет идет на то, что есть локальный кэшер.<br><br>Используется стандартный resolver из HttpCoreModule.<br> https://www.opennet.me/openforum/vsluhforumID3/91886.html#16 Sat, 28 Sep 2013 13:11:48 GMT &gt; Подобные блокировки при DDoS нужно делать не на лету, а через парсинг <br>&gt; лога/ резолвинга раз в несколько минут и фонового построения списка блокировки. <br>&gt; Иначе резолвингом при каждом запросе только усугубим ситуацию.<br><br>Используется стандартный resolver из nginx (есть кэш). Поддерживаются "if".<br> https://www.opennet.me/openforum/vsluhforumID3/91886.html#15 Sat, 28 Sep 2013 12:39:29 GMT Нам помогает. В определенной степени, но всё же &#8212; иначе бы и не придумывали.<br><br>Универсальных решений нет и [в абсолютном понимании] не будет: как только улучшается защита, улучшаются и способы &#171;нападения&#187;.<br> https://www.opennet.me/openforum/vsluhforumID3/91886.html#14 Sat, 28 Sep 2013 04:12:20 GMT &gt; Поделись атакою своей!<br><br>И она к тебе не раз ещё вернётся...<br><br>Эх, дуэль Ареафиксов, я скучал по тебе! :)<br> https://www.opennet.me/openforum/vsluhforumID3/91886.html#13 Sat, 28 Sep 2013 03:01:52 GMT Чот маловразумительно. Не поможет.<br><br>А есть ли для nginx такой модуль или режим, чтобы отделял зёрна от роботов, типа: этот клиент внаглую игнорирует css и картинки, быстро делает запросы, пишет тупые однообразные комментарии и ищет php там, где его отродясь не видали - значит, это робот и ему доступ закрыть, надолго.<br>