Простейшая защита от DDOS на PHP?

Question

[Владимир Соколовский]

Можно ли организовать простейшую защиту от DDOS не на уровне конфигурации сервера, а на уровне кода PHP? Может кто-то использует готовые решения, тогда поделитесь ссылочками, пожалуйста.

Answer 1

[Sergey]

анти-ддос «на уровне php» — сам по себе — ерунда, по определению. Можно оптимизировать код, чтобы он занимал меньше памяти, меньше процессорного времени, меньше «долгих» запросов к БД и т.п. Но это все имеет смысл делать просто так, как правило, а не в попытках отбить ддос.
На базе кода php можно сварганить IDS, что успешно и делают некоторые.

Answer 2

[casey]

можно перед отдачей страницы класть html в кэш (redis, memcached, а ключ составить из запроса и критичных кук), а в index.php до всего-всего-всего проверять наличие флага «повышенная нагрузка». если флаг стоит — не грузить php код, а отдавать страницу из кэша.

флагом может быть файл — например по крону проверять нагрузку на сервер и создавать /tmp/ddos, если она повышена

Comments

[SMiX]

При этом из memcached контент может брать сам nginx, а какой-нибудь демон будет проверять нагрузку и ставить флаг в тот же memcached. Но вообще, как уже сказали выше, защиту нужно строить на уровне логов и netstat-а.

[Sergey]

На уровне логов и нетстата вы себе сами создадите локальный DoS, когда количество соединений вырастет до нескольких тысяч. netstat -nta вым будет по нескольку минут сжирать 100% CPU. Про логи я тоже молчу, хреначить будет так, что ваш диск не справится с IO. На уровне нетстата и логов можно фильтровать лишь вялотекущие атаки в десяток-другой мегабит с пары тысяч ботов. Ну или не атаки, а просто ловить аномальные запросы скрипткиддисов и сканеров уязвимостей. Но не более. Дальше только специализированные решения на стороне провайдера (ов).

Answer 3

[keatis]

Когда DDOSят, главной задачей ставят нагнуть определенный сервис или весь сервер.
Защищаясь от ддоса с помощью php, особых плюсов это в большинстве случаев не принесет (ну разве что, напр., снимет нагрузку с СУБД). А канал так и останется забитым, очередь подключений — полной, апач будет молотить максимальным кол-вом процессов, кто-нибудь доест остатки свободной памяти… А там уже не только пользователям сервиса будет сложно пробиться на сайт, но и админу по ssh.

Защита от DDOS — всегда комплексный подход, а иначе это не защита.

Answer 4

[Kolger]

Даже при среднем DDoS скрипт вроде
<?php
echo «123»;
?>

будет занимать у вас 100% CPU.

Наоборот, цель защиты от DDoS — не допустить спама на PHP скрипты средствами, например, nginx.

Answer 5

[ChemAli]

Можно. Отключите PHP и перенаправьте посетителей на статичную версию сайта.

Answer 6

[odmin4eg]

Соглашусь половина сайтов рунета валятся простым ab
добавление обычного кэширования к ним спасает от очень многого. особенно хочу отметить «мемкэшед»

но ддос бывает разный, могут и просто «забить канал» если железо справляется.
но тутже средствами nginx или iptables можно на коленке побороться…

Answer 7

[BasilioCat]

Если ваш скрипт на пхп будет первым делом лазить например в мемкэш и проверять сколько подключений за минуту было с такого же адреса, что и сейчас, и если больше порога, то соединение быстро закрывать, то в теории с небольшим ДоСом вы справитесь. Впрочем если он по те же критериям будет формировать .htaccess с директивами deny from — будет быстрее. А если еще и перед апачем случайно nginx стоит, то есть шанс, что ваш сайт будет даже работать.

Comments

[keatis]

Немного похоже на садо-мазо, все-таки. Решать на пхп задачи, с успехом решаемые другими средствами, специально на то заточенными, типа mod_evasive\mod_bwlimit (емнип, за название не ручаюсь), firewall (!), что-нибудь типа bruteblock на худой конец…

Запрос — файрвол — зарубили
или
Запрос — апач — новый процесс с mod_php в памяти или +1 процесс php, если fcgi — memcached…

[BasilioCat]

Садо-мазо заложено в самой постановке задачи — может речь о шаред хостинге?

[keatis]

В таком случае простейшей защитой от ддоса станет пхп-скрипт, отсылающий емейл саппорту или тех. отделу хостинга.
пс. А для убедительности письмо можно отсылать при каждом входящем запросе атакующих :))

Answer 8

[multik]

Как вы собираетесь защищаться от атаки хотя бы с 20 000 айпи? С помощью пхп?

Это как использовать малую сапёрную лопатку, но крутой иностранной фирмы, для защиты от «примитивного» ядерного удара.

Answer 9

[Владислав]

защита от ддос это сильно сказано, а вот защититься от всяких паразитных ботов способных положить не шибко быстрый сайт вполне возможно.

Answer 10

[Евгений Матвеев]

вот наверное что вас интересует:
https://habr.com/ru/post/659811/
это снизит нагрузку на сервак от всяких ботов, хотя от полноценного DDoS не спасёт