私がホストしている WordPress サイトで DoS 攻撃を受けています。
173.192.109.118 - - [30/Sep/2015:22:31:36 +0000] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
アクセス ログには約 140 個のログが記録されnginx(約 10 秒かかったので、1 秒あたり約 14 件のリクエスト)、その後 502 に切り替わります。
173.192.109.118 - - [30/Sep/2015:22:31:46 +0000] "POST /xmlrpc.php HTTP/1.0" 502 537 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
その時点で、PHP-FPMサイトを復元するには再起動する必要があります。
そこで私の質問は次のとおりです。単独の攻撃者がクラッシュするのを防ぐために何かできることはありますかPHP-FPM?
私の(限られた)経験のほとんどはApacheに関するものなので、アドバイスがあれば大いに感謝。
すべてに適切な制限を設定しようとしました。負荷がかかってもサーバーには十分な RAM があるので、それが問題ではないようです。次のチュートリアルからレート リミッターを追加しました。https://www.howtoforge.com/rate-limiting-with-nginx、そしてそれは苦痛を遅らせているように見えますが、それでも結局は墜落してしまいますPHP-FPM。
/var/log/php5-fpm.log設定ファイルの先頭に / を追加するのを忘れたために発生したいくつかのエラーと、再起動による一連の成功行以外には、興味深いものや役立つものは何も表示されていないようです。
[30-Sep-2015 23:03:51] ERROR: Unable to create or open slowlog(/usr/log/www.log.slow): No such file or directory (2)
[30-Sep-2015 23:03:51] ERROR: failed to post process the configuration
[30-Sep-2015 23:03:51] ERROR: FPM initialization failed
[30-Sep-2015 23:05:47] NOTICE: configuration file /etc/php5/fpm/php-fpm.conf test is successful
/etc/php5/fpm/pool.d/www.conf
[www]
user = www-data
group = www-data
listen = /var/run/php5-fpm.sock
listen.owner = www-data
listen.group = www-data
pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3
pm.status_path = /status
ping.path = /ping
ping.response = pong
slowlog = /var/log/php-fpm_$pool.slow.log
request_slowlog_timeout = 30
request_terminate_timeout = 30
chdir = /
nginx.conf は、
user www-data;
worker_processes 4;
pid /run/nginx.pid;
events {
worker_connections 768;
}
http {
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
gzip on;
gzip_disable "msie6";
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_buffers 16 8k;
gzip_http_version 1.1;
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}
/etc/nginx/sites-enabled/example.com
server {
server_name localhost www.example.com;
return 301 http://example.com$request_uri;
}
server {
listen 80 default_server;
listen [::]:80 default_server ipv6only=on;
root /var/www/html;
index index.php index.html index.htm;
server_name example.com;
client_max_body_size 500M;
location / {
try_files $uri $uri/ /index.php?q=$uri&$args;
}
error_page 404 /404.html;
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /var/www/html;
}
location ~* \.(jpg|jpeg|png|gif|ico|css|js|woff)$ {
expires 365d;
}
location ~ \.php$ {
try_files $uri =404;
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
limit_req zone=one burst=5;
}
location /status {
fastcgi_pass php;
}
location /ping {
fastcgi_pass php;
}
location ~ /\. {
deny all;
}
}
**アップデート**
PHP-FPMチューニングに関する質の高い議論を引き出せるよう、質問をもう少しよく反映するようにタイトルを更新しました。
2 番目の質問として、そしておそらく最初の質問よりも重要なことですが、次のことが疑問に思います。 最初にクラッシュすることなく、利用可能なすべてのサーバー リソースを活用するために PHP-FPM を調整/強化するにはどうすればよいですか。
Apache / PHP はそれほど効率的ではなかったかもしれませんが、サーバーがダウンするまでリクエストの処理を停止せず、攻撃が終わるとサイトは復旧しました。少し負荷がかかったサービスを手動で再起動しなければならないのは、かなり不快なことです。(14 リクエスト/秒は実際には大したことではありません)
DoS攻撃を軽減するために活用するというアイデアには賛成ですfail2banが、私が本当に心配しているのは、通常トラフィックは 15 リクエスト/秒に達しますか?
答え1
基本的には次の選択肢があります。
- パケットフィルタブロックを使用する
- nginxブロッキングを使用する
location / { deny xx.xx.xx.xx; allow all; }
pm.max_children等しい数まで増加するCPU コア x 25 は低すぎます。増やしても 1 秒あたり 14 件のリクエストしか処理できない可能性がありますが、これは実際にはそれほど大きな数値ではありません。さらに、limit_reqリクエスト レートを制限するために nginx ディレクティブを使用している場合は、別のゾーンを追加して、より低いバースト サイズまたは で構成することをお勧めしますnodelay。