Latest posts for the topic "Hỏi về Nginx và cách chống chọi với DDoS"

Hỏi về Nginx và cách chống chọi với DDoS

ctmanh — GMT

Chào các anh chị em trên diễn đàn HVA. Mình hiện tại đang quản lý một số website nhỏ, mô hình Nginx kết hợp với Web2py Nginx <----> web2py Dạo này các site của mình thường bị ddos, mình đã tìm hiểu và cho deny mấy cái IP vào config của Nginx nhưng mà mỗi lần thêm vào là cứ phải khởi động lại Nginx. Mình tạo một file deny.txt và phát hiện những request khả nghi là tự động cập nhật vào file deyny.txt đó, trong nginx.conf thì include cái file đó vào. Câu hỏi mình đặt ra ở đây là: mỗi lần file deny.txt thay đổi nội dung thì Nginx lại phải restart lại mới áp dụng được, vậy có cách nào để Nginx đọc được nội dung của file đó mà không cần phải restart thủ công nginx?

Hỏi về Nginx và cách chống chọi với DDoS

quanta — GMT

ctmanh wrote:

Mình hiện tại đang quản lý một số website nhỏ, mô hình Nginx kết hợp với Web2py Nginx <----> web2py Dạo này các site của mình thường bị ddos, mình đã tìm hiểu và cho deny mấy cái IP vào config của Nginx nhưng mà mỗi lần thêm vào là cứ phải khởi động lại Nginx. Mình tạo một file deny.txt và phát hiện những request khả nghi là tự động cập nhật vào file deny.txt đó, trong nginx.conf thì include cái file đó vào. Câu hỏi mình đặt ra ở đây là: mỗi lần file deny.txt thay đổi nội dung thì Nginx lại phải restart lại mới áp dụng được, vậy có cách nào để Nginx đọc được nội dung của file đó mà không cần phải restart thủ công nginx?

Có. Giám sát file đó, mỗi khi có thay đổi thì restart Nginx một cách tự động. Tham khảo inotify, incron, ... Tuy nhiên, mình nghĩ đó không phải là giải pháp. Cách làm đúng là: - chạy tcpdump trên server - phân tích gói packets --> tìm ra điểm khác biệt, thống kê tần suất, ... - Tiến hành cản lọc một cách tự động: iptables (recent/hashlimit, ...), mod_security (initcol, setvar, deprecatevar, drop, exec, ...)

Hỏi về Nginx và cách chống chọi với DDoS

vd_ — GMT

kill -HUP `pidof nginx` sẽ reload nginx config mà không cần restart

Hỏi về Nginx và cách chống chọi với DDoS

ctmanh — GMT

cảm ơn a quanta

vd_ wrote:

kill -HUP `pidof nginx` sẽ reload nginx config mà không cần restart

vấn đề là mình cài nginx trên windows, trong bài mình quên viết vào. hic trong linux thì mình có thể cho tự động giám sát sự thay đổi của file config để chạy lệnh nginx -s reload là được. Nhưng trong windows khi mình xây dựng service cho nginx, dùng lệnh nginx -s reload thì nó báo không có quyền.