<br><br><div class="gmail_quote">2008/3/28 <a href="mailto:pavel@pronskiy.ru">pavel@pronskiy.ru</a> <<a href="mailto:pavel@pronskiy.ru">pavel@pronskiy.ru</a>>:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div bgcolor="#ffffff" text="#000000"><br>
Если 1 IP за время к примеру 20 секунд посетил одну динамическую
страницу больше чем N раз - бан ему на N часов.<br>
Данный скрипт уже был написан моим приятелем (респект ему) и выложен в
публичку, пользуйтесь.<br><font color="#888888"></font></div></blockquote></div><br>Так выложи свой вариант ...<br><br><br><br>Для себя делаю так, и вполне успешно....<br><br>в nginx все входящие запросы проверяю на наличие спец.кукиса, если такового нет, выставляю кукис и редирекчу на тот же урл, но с добавленным неким доп аргументом в URI. При редиректе ставлю кукис.<br>
<br>Но чуть ранее этой проверки проверяю в URI наличие этого доп.аргумента и своего кукиса. если все есть - пропускаем на апач. Если нет кукиса, но есть доп.аргумент, редиректим на страничку с предложением разрешить кукисы.<br>
<br>Кроме того учитываем поисковики по сетям IP адресов и-или юзер-агент полям (кому как нравится) и пропускаем их к себе без проверки кукисов.<br><br>Все это исключительно за счет настроек в конфиге nginx, без серверного сриптинга.<br>
<br>Разумеется это только часть комплекса. Сзади вебсервера присутвует скрипт анализа и файрволинга частых обращений, присутсвует соответвующий файрвол, да и сам софт что крутится на апаче используем memcached...<br><br><br>
В итоге бывали ситуации когда сайт, в ту пору живший на 2.4 ГГц пеньке выдерживал атаку порядка с 15к ботов (столько наловил скрипт и добавил в файрвол) за несколько часов. <br><br>Все это под линухом, правда с ipset, connlimit и еще чемто (не помню), обычный iptables столько не отфильтрует.<br>
<br><br>