Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re[2]: Доработка limit_req
Здравствуйте, Maxim.
>> Иногда возникает задача блокировать кого-то, кто чересчур часто что-то
>> с сайта запрашивает. Сейчас можно ограничить его по количеству
>> запросов в единицу времени. Но запросы, которые вписываются в лимит
>> будут проходить. Но это не совсем то, что иногда нужно. Иногда надо
>> заблокировать до тех пор, пока количество запросов не снизится до
>> установленного лимита. И это легко могло бы решаться, если у limit_req
>> добавить параметр, который заставлял бы сохранять информацию о каждом
>> запросе, а не только о том, который вписывается в установленный лимит.
> (just for history)
> В общем случае "сохранять информацию о каждом запросе" - нельзя,
> ибо это даст возможность заблокировать лимитируемый параметр
> практически навечно. E.g. evil hacker запрашивает ip под DHCP у
> какого-нибудь stream'а, делает N (или M) запросов, запрашивает
> следующий ip, ... В результате со стрима ни у кого твой сайт не
> работает. Или ещё хуже: у хостера стоит лимит запросов на домен,
> и тебе на этот сайт наливают M**2 запросов - сайт заблокирован на
> неизвестное время.
Я имел ввиду другое: если льётся более, чем Х запросов в единицу
времени, то вообще ни один запрос не пропускать. Проблемы со злостным
хакером нет. Он сменит ip, запросы кончатся и ip разблокируется по
истечении единицы времени. С доменом та же история - кончилась атака и
через единицу времени пропадает лимит.
> Какой-то механизм, обеспечивающий контролируемый гистерезис -
> наверное нужен. Я исходно хотел сделать помимо параметра burst=
> ещё и какой-то параметр <считать-до>=, но хорошего названия так и
> не придумалось, да и руки не дошли.
> Возможно, альтернативным вариантом будет некая дополнительная
> таблица блокировки, в которую "нехорошие люди" будут заносится на
> заданное время при превышении лимита (её же можно будет
> использовать при превышении других ограничений, а равно при просто
> при выполнении определённых условий). Тут надо ещё подумать.
ИМХО, надо отделять подсчёт лимита от самого блокирования, а не
совмещать их в одной директиве.
P.S.
Так как nginx кроме всего прочего часто выполняет функции фаервола, то
возможно что-то из фаерволов имеет смысл позаимствовать.
--
С уважением,
Михаил mailto:postmaster@xxxxxxxxxxxxx
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|