Как защитить от DDOS сайт на bitrix?

Question

[Aleks305]

Друзья, приветствую!
Хочу поинтересоваться, боролся ли кто-нибудь с DDOS на сервере(VPS) с сайтом, написанным на bitrix. Дело в том, что есть неоптимизированные запросы к СУБД(mysql), которые при значительном количестве подключений к стартовой странице из-за большой нагрузки mysql на процессор "валят" сервер. Над оптимизацией запросов работаем, но хотелось бы подстраховаться на случай, если кто вздумает сейчас попробовать завалить сервер.
Если есть у кого положительный опыт настройки каких-то модулей под битрикс, либо iptables, или под apache что-нить, прошу поделиться опытом.
Спасибо"

Answer 1

[Александр Маджугин]

Так проблема в том что вас DDOSят или в том что все тупит на битриксе?
Это две разных проблемы и решать их надо по разному и в разных местах.
Про DDOS вам уже ответили - фильтровать трафик. Пакеты не должны даже до сервера долетать, не говоря уже о bitrix'е.
man iptables.

По поводу битрикса - включите кэширование в компонентах - какая разница сколько у вас обращений будет к главной, если со включенным кэшем скажем на 10 часов, ваши тяжелые, неоптимизированные запросы будут выполнятся не чаще чем раз в 10 часов? Хоть задэдосься. Компонент один раз отработает и будет выплевывать код из файла кэша пока он не устареет.

Comments

[Aleks305]

Ок, спасибо за наводку, попробуем этот способ.

[Aleks305]

По умолчанию стоит кэширование в 1 час в компонентах кэширования (автокэширование от битрикс). Целесообразно, получается увеличить это значение?

[Александр Маджугин]

Aleks305: а черт его знает. Зависит от того с какой частотой вы обновляте данные. Если у вас допустим 1С выгружает каталог каждые 15 минут, то 1 час это много - три четверти апдейтов пролетит мимо. А если это случается раз в неделю, то можете и поставить неделю, только сбрасывать кэш руками после внесения изменений.
Продолжительность кэширования должна быть такой на сколько вы готовы чтобы запаздывали новые данные в своем появлении на сайте.

Answer 2

[Пума Тайланд]

Выключаете все грузящие проц модули битрикса, ставите промежуточный сервер фильтрации с айпитаблес, на основном сервере настраиваете кеширование и фильтры по всяким юзерагентам и прочим штукам, которые выдают ботов.
Недавно отбивал для своего клиента какую то невероятную атаку, с учетом того что клиент был мелкий и зачем так сильно его бомбить было не понятно.

Comments

[Aleks305]

Спасибо за подсказку. А не покажете пример или статью по поводу фильтров по юзерагентам, которые отфильтровывают ботом и т.д.
Спасибо!

Answer 3

[Алексей Емельянов]

если кто вздумает сейчас попробовать завалить сервер

Если ваш проект на VPS'e, то он в принципе уязвим при DDOS, потому что в случае атаки хостер автоматом мигрирует вашу виртуалку на карантинный сервер, что бы запросы к вашему VPS не забивали канал железки.

Если проблема в трёхэтажном sql запросе, то кэшируйте этот компонент на века.

Если проблема в том что получаемый кэш компонента много весит(>1МБ), то либо вычищайте его, либо включайте встроенное кэширование на эту страницу или ставьте отдельный модуль getcache