Anti-DDoS: Конфигурирование LightHTTPD

Hint: flag is not a frag: once you've got it, you can get one more...

Ниже немного интерпретации инфы из документации о том, как сконфигурировать сервер Lighthttpd для оптимальной производительности.
Уже из самого названия продукта видно, что этот сервер «лёгкий» – он заточен под максимальную скорость работы.
А знание конфигурации позволит оптимально настроить сервер под Ваши нужды и нагрузки.

Далее я напишу о директивах конфигурации сервера, которые прямым образом влияют на производительность.

Сужаем канал

Директива connection.kbytes-per-second позволяет ограничить скорость соединения с сервером. Это позволит дольше использовать ресурсы канала во время DDoS-атаки.
Следующий код ограничит скорость до 1 мбит/с:
connection.kbytes-per-second = 1024

По умолчанию директива равна 0, т.е. ограничения отсутствуют.
Кроме того, можно ограничить скорость соединения для определённого хоста (к примеру, если идёт http-ddos на один из сайтов на сервере):

$HTTP["host"] == "victim.com" {
server.kbytes-per-second = 32
}

Помимо этого, существует плагин mod_speed.c, который позволяет регулировать скорость прямо в скриптах. Пример на php:
<?php
header("X-LIGHTTPD-KBytes-per-second: 50");
echo('Content with speed, limited to 50 kbit/s');
?>

Ограничиваем запросы

Для того, чтобы сессии соединения сбрасывались как можно быстрее и количество запросов в эту сессию было как можно меньше, надо регулировать keep-alive директивы. Вот значения по умолчанию:

server.max-keep-alive-requests = 16
server.max-keep-alive-idle = 5
server.max-read-idle = 60
server.max-write-idle = 360

Вы можете уменьшать их с увеличением нагрузки (например, во время DDoS-атаки), вплоть до обнуления. Первые две директивы – это соответственно максимальное количество запросов во время сессии и длительность сессии (в секундах)

Регулируем дескрипторы

Для каждой открытой, скажем, php страницы на сайте создаётся файловый дескриптор.
Если идёт атака, то файловых дескрипторов создаётся очень много, и если их количество превысит установленый лимит, сервер перестанет отвечать на запросы.
Поэтому при больших нагрузках рекомендуется увеличивать значение директивы server.max-fds. По умолчанию оно равно 1024.
Данная директива работает лишь в случае, когда lighthppd запущен под root.

server.max-fds = 4096

Количество соединений

Директива server.max-connections служит для определения максимального количества соединений сервера.
По умолчанию она равна 1024, как и server.max-fds, но рекомендуется устанавливать для неё значение, равное 1/2 или 1/3 от значения server.max-fds, поскольку не все файловые дескрипторы отвечают соединениям – многие используются для fastcgi или файлов.

Баним IP-адреса

Если атака ведётся с какого-то диапазона IP-адресов или с нескольких IP-адресов, логично забанить эти адреса. Для этого воспользуемся условной конструкцией, глобальными переменными и регулярным выражением:

$HTTP["host"] == "victim.com" {
$HTTP["remoteip"] = "^(123\.123\.123\.[0-255])$" {
url.access-deny = ( "" )
}
}

Ещё ограничиваем трафик

Вот ещё некоторые меры, которые могут помочь для экономии трафика: бан ботов по user-agent и анти-хотлинкинг.
User-Agent банится так:

$HTTP["useragent"] =~ "libwww-perl" {
url.access-deny = ( "" )
}

Это конечно можно сделать и в robots.txt, но ведь бот может и не проверять этот файл, так что на уровне сервера это надёжнее.
Хотлинкинг же запрещается следующим образом:

$HTTP["referer"] !~ "^($|http://vitim\.com)" {
url.access-deny = (".bmp", ".jpg", ".jpeg", ".png",".ico" )
}

Таким образом, мы запретили выкладывать на других хостах картинки с нашего сервера. Это бывает весьма полезно, когда картинок много и их постоянно воруют. Того же эффекта можно достичь при помощи .htaccess. Кстати бывали и прецеденты, когда DDoS-атака проводилась с помощью очень частого показа картинок с сервера (канал забивался).

Распределяем нагрузки

LightHTTPD позволяет производить LoadBalancing (то есть, распределение нагрузки) между разными fastcgi-серверами.
К примеру, у Вас есть сайт, написанный на PHP, и Вы хотите разгрузить его.
Есть фронтэнд с LightHTTPD и 2 бэкэнда с FastCGI на 1000 порту. IP-адрес первого бэкнда – 192.168.1.10, а второго – 192.168.1.11.
Пишем в lighttpd.conf:


fastcgi.server = ( ".php" =>
(
( "host" => "192.168.1.10",
"port" => 1000
),
( "host" => "192.168.1.11",
"port" => 1000
)
)
)

Как это работает? Когда появляется новое подключение, то есть пользователь запрашивает php-страницу, LightHTTPD просматривает список fastcgi-серверов, который заранее отсортирован по количеству подключений, и выбирает тот, у которого нагрузка меньше всего. Новое подключение идёт к этому серверу.
После чего, список снова отсортировывается.

Таким образом, можно значительно снизить нагрузку на основной сервер.

Всё

Больше информации можно найти на lighttpd.net.
Удачи в Анти-ДДоСе!