пхп-обработчик перегружает сервер?=/
- Автор темы zavu
- Дата начала
PHP:
fwrite($fp, date('H:i:s d-m-Y') . ';' . $ip . PHP_EOL);Учитывая ошибку в формате даты, очевидно, что кто-то (D)DoS-ит сайт, т.к. за секунду 6 и больше запросов.
dino
Мой дом здесь!
- Регистрация
- 28 Май 2009
- Сообщения
- 550
- Реакции
- 204
Как привинтивную меру можно из айпишников лога создать массив и в начале файла делать проверку на присутствие айпишника голосующего в данном массиве, если присутствует- выполнять die(); если нет, то продолжаешь обрабатывать...
А вообще лучше было бы разрешать голосовать только зареганым пользователям и там же вначале проверять на наличие айпишника в базе пользователей... Ну и обрабатывать соответственно, хотя и это не панацея...
А вообще лучше было бы разрешать голосовать только зареганым пользователям и там же вначале проверять на наличие айпишника в базе пользователей... Ну и обрабатывать соответственно, хотя и это не панацея...
VDS есть возможность арендовать? Fail2ban поставить, например.
Если нету - проси хостера поставить защиту от DoS, или меняй хостера на с уже настроенной защитой.
Хотя можно попробывать сделать проверку на cookies, еще надежнее какой-нибудь проверочный скрипт на JS написать, но это отсеет реальных пользователей с отключенным JS. Но процесс php всё равно будет каждый раз вызываться, так что это не решит проблему, но может снизить эффект.
Если нету - проси хостера поставить защиту от DoS, или меняй хостера на с уже настроенной защитой.
Хотя можно попробывать сделать проверку на cookies, еще надежнее какой-нибудь проверочный скрипт на JS написать, но это отсеет реальных пользователей с отключенным JS. Но процесс php всё равно будет каждый раз вызываться, так что это не решит проблему, но может снизить эффект.
zavu
Старатель
- Регистрация
- 24 Сен 2010
- Сообщения
- 180
- Реакции
- 14
- Автор темы
- #26
У меня голосовалка все равно на яве сделана, так что пофиг на отсев. Если есть возможность такой скрипт сделать - я только за.
По поводу просьбы хостеру - у нас тут странный разговор идет... хостер грит, что все окей и никакого ддоса нет, что они защищены и все такое о_О То ли я туплю, то ли одно из двух.
Смотрите:
по поводу файла с логами:
Через 20 минут после ответа сайт снова упал =)
Я даж не знаю, что еще им сказать =/
На выделенку... напряжно, если честно, будет. Проект хоть и посещаемый, но фановый, прибыли с него немного.
По поводу просьбы хостеру - у нас тут странный разговор идет... хостер грит, что все окей и никакого ддоса нет, что они защищены и все такое о_О То ли я туплю, то ли одно из двух.
Смотрите:
по поводу файла с логами:
Через 20 минут после ответа сайт снова упал =)
Я даж не знаю, что еще им сказать =/
На выделенку... напряжно, если честно, будет. Проект хоть и посещаемый, но фановый, прибыли с него немного.
DoS идет в обход явы, сразу на обработчик.
DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён.
Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»).
Говори с хостером насчет DoS атаке (частые запросы с ОДНОГО IP).
5$ хоть найдется?
Вполне на эти деньги можно взять VDS.
dino
Мой дом здесь!
- Регистрация
- 28 Май 2009
- Сообщения
- 550
- Реакции
- 204
Мммм... есть одна фишка может облегчить нагрузку на БД... Чёйто я про неё совсем забыл В свое время делал защиту от нерадивых пользователей... Суть заключается в чем: Пользователь ставит у себя локальный сервер, делает скрипт, который формирует все данные, которые отправляются твоей формой голосовалки (как правило это стандартные данные: имя формы, имя поля и его значение...) в параметре action формы он прописывает полный путь к твоему скрипту, который обрабатывает данные голосовалки, и активирует событие submit через цикл немереное количество раз... Так он обходит и твою защиту явой, и защиту куками и устраивает простую DoS атаку ...
Но если в твою форму голосовалки на сайте добавить фактор неожиданности, то можно существенно осложнить задачу этому гаду...
1) Добавить в форму поле <input type="hidden" name="checkword" value=".$checkword.">
2) $checkword = md5(дата_в_формате_ГМДЧ + кодовое_слово); В качестве кодового слова можно использовать что угодно: набор букв, цифр, фразы и т.д....
3) в файле обработчике установить проверку на соответствие присланного значения...
if($_POST['checkword']!=md5(дата_в_формате_ГМДЧ + кодовое_слово)){die();}
это не спасет от нагрузки на рнр сервер, но даст возможность не грузить мускул-сервер, что тоже неплохо...
Конечно данные из формы можно скопипастить и посылать в атаку, но долго так заморачиваться врядли кто будет...
В свое время делал защиту от нерадивых пользователей... Суть заключается в чем: Пользователь ставит у себя локальный сервер, делает скрипт, который формирует все данные, которые отправляются твоей формой голосовалки (как правило это стандартные данные: имя формы, имя поля и его значение...) в параметре action формы он прописывает полный путь к твоему скрипту, который обрабатывает данные голосовалки, и активирует событие submit через цикл немереное количество раз... Так он обходит и твою защиту явой, и защиту куками и устраивает простую DoS атаку ...Но если в твою форму голосовалки на сайте добавить фактор неожиданности, то можно существенно осложнить задачу этому гаду...
1) Добавить в форму поле <input type="hidden" name="checkword" value=".$checkword.">
2) $checkword = md5(дата_в_формате_ГМДЧ + кодовое_слово); В качестве кодового слова можно использовать что угодно: набор букв, цифр, фразы и т.д....
3) в файле обработчике установить проверку на соответствие присланного значения...
if($_POST['checkword']!=md5(дата_в_формате_ГМДЧ + кодовое_слово)){die();}
это не спасет от нагрузки на рнр сервер, но даст возможность не грузить мускул-сервер, что тоже неплохо...
Конечно данные из формы можно скопипастить и посылать в атаку, но долго так заморачиваться врядли кто будет...
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
Ага, md5 не будет меняться в течение всего дня. Думаю такая защита легко обходится. Но если сделать так, чтобы каждый раз новый md5, тогда да.
Не думаю.. Хостер всё равно будет банить скрипт за зашкаливающее количество процессов php.