[Tro]

Hoppas jag postat rätt.
Det är så att flera attacker har kommit in idag och igår. Har nu blockat ip-adressen men vpn är ju lätt att fixa.
Det är så att folk http floodar min sida med gets. Cloudflare hjälper inte ett dugg.
Under de senaste timmarna har jag blockat runt 500 ipadresser. Har ungefär blockat 10% av attacken, och orkar inte spendera 12 timmar per dag till att blocka ipadresser.
Folk skickar http floods till min webbsida som ligger på en windows(iis) server. Då skapas cirka 500 php-cgi.exe processer som inte stängs förens jag startar om iis. Dessa processer använder cirka 13% av min cpu och 500mb ram minne av 24 gb.

Det jag undrar är varför min sida slutar funka när jag blir överbelastad med get? och hur gör jag för att motverka att sidan åker ner? Har inget emot att folk floodar min webbsida, bara att blocka ipadresserna men när det blir över 1000 ipadresser har jag inte orken att sitta och blockera en och en för att vänta på 1000 ipadresser till efter 10 min.

Inga php filer funkar, inte ens <?php echo 'hej'; ?> funkar. Men html funkar felfritt när servern blir floodad.

Tack på förhand.

[Danielos]

Jag skulle rekommendera dig att du kör en pfsense eller liknande brandvägg som kör states framför servern och ställer in max states på något bra värde för varje IP. Även shorewall går att sätta in max anslutningar per IP med

[Clarence]

Går statiska filer bra men inte fcgi-requests så är det nog så att du använder max antalet fcgi-processer enligt din konfiguration. Du kan öka det ordentligt när du använder så lite av dina resurser. Men Danielos förslag bör du titta på först. Förmodligen så kommer även 5 gånger så många fgci-processer att fyllas upp.

Du kan även sätta en riktig cache framför. Sätt vettiga expires headers och använd en cachande proxy framför IIS. Känner tyvärr inte till någon sådan mjukvara för Windows, men det lär finnas.

[Tro]

Tack för svar!

Citat:

Ursprungligen postat av Danielos

Jag skulle rekommendera dig att du kör en pfsense eller liknande brandvägg som kör states framför servern och ställer in max states på något bra värde för varje IP. Även shorewall går att sätta in max anslutningar per IP med

Jag använder cloudflare, så det är inget alternativ, tyvärr.

Citat:

Ursprungligen postat av Clarence

Går statiska filer bra men inte fcgi-requests så är det nog så att du använder max antalet fcgi-processer enligt din konfiguration. Du kan öka det ordentligt när du använder så lite av dina resurser. Men Danielos förslag bör du titta på först. Förmodligen så kommer även 5 gånger så många fgci-processer att fyllas upp.

Du kan även sätta en riktig cache framför. Sätt vettiga expires headers och använd en cachande proxy framför IIS. Känner tyvärr inte till någon sådan mjukvara för Windows, men det lär finnas.

FastCGI slutar funka redan vid 10 processer av någon konstig anledning. Max är satt till 10 000 och processerna blir uppemot 500 st ibland.
Spelar ingen roll hur många processer det är heller, sålänge fastcgi funkar. Tycker det är konstigt att det bara dör så snabbt utan att knappt använda någon datorkraft.
Cache funkar ju men hur blir det när man ska logga in då?

[Clarence]

Citat:

Ursprungligen postat av Tro

Cache funkar ju men hur blir det när man ska logga in då?

Man konfigurerar cachen att cachea baserat på userid eller inte alls cacha inloggade användare.

FCGI-problemet låter skumt, låter som om du har någon annan begränsning i den. Men jag är inte alls van nog vid Windows som server-OS för att kunna ge några ledtrådar.

[Björklund]

Om du kör en proxy framför (typ Cloudflare) så är det ju bara a blockera allt utom proxyns IPs.

https://www.cloudflare.com/ips

[Tro]

Citat:

Ursprungligen postat av Björklund

Om du kör en proxy framför (typ Cloudflare) så är det ju bara a blockera allt utom proxyns IPs.

https://www.cloudflare.com/ips

De attackerar inte min server direkt utan min webbadress. Cloudflare är inte direkt tipp topp gällande överbelastningsattacker och skyddar till 0% min sida från dem.

[BarateaU]

Ser att de billiga paketet avsaknar ddos protection hos cloudflare.
Jag har testat google page speed service lite och då sätter man upp en referens domän adress som google's cdn hämtar grejerna från och presenterar sedan på vanliga adressen.
Kanske passar bättre en cloudflare.

[Westman]

Prova Varnish framför. Det löste mina prestandaproblem (jo jag kör IIS och FastCGI eftersom jag inte lyckades bli av med socketproblemen som php5-fpm gav mig).

Annars så kan du på workerprocessen sätta att den ska göra recycle vid en viss belastning eller efter ett visst antal träffar etc. Det ska göra att dina php-cgi-processer försvinner med jämna mellanrum.