Подскажите, пожалуйста, работает ли модуль антидос для apache?

какой именно?

mod_dosevasive

он, помнится мне, однопоточный, так что бессмысленнен по определению для большинства worker-ов.

что значит однопоточный? и почему не подходит?

он считает обращения, доставшиеся только одному процессу апача, а их под нагрузкой плодится… много. в результате ерунда получается.

вообще, в случае проблем, начать надо с установки наперед nginx-а, imho. а потом уже смотреть надо ли еще какие-то телодвижения делать.

А что Вы можете сказать о таких штуках как: mod_cguard, mod_evasive mod_limitconn ...?

А ngnix можно поднять на нескольких fronend машинах до одного основного сервера apache?

mod_evasive — это то же самое.

на остальные не смотрел, решил проблемы более другим путем.

все это еще надо смотреть в контексте особенностей ddos-а, который у вас нам идет. меня вот тупо забрасывали get-ами с ~1000 хостов на очень ограниченное количество страниц. оказалось проще всего распарсить лог nginx-а (автоматом, конечно) и забанить товарищей по ip. скриптик для этого на руби весит ~100 строчек.

> А ngnix можно поднять на нескольких fronend машинах до одного основного сервера apache?

можно. а смысл? все равно тяжелую работу будет делать апач и нагрузка будет идти на него.

Можете скриптиком поделиться?

>Подскажите, пожалуйста, работает ли модуль антидос для apache?

Работает. Но на него не стоит надеяться вообще. Он бесполезен.

Если ддос настоящий (а такое сейчас сплошь и рядом) - ip меняются почти на каждом запросе. Тут не помогает ни iptables с баном по айпи, ни модули вебсервера. Надо фильтровать трафик на уровне провайдера.

Я так понимаю от udp атак организация подобных модулей для web-серверов никак не спасет. Ляжет канал и все встанет колом. Да и далеко не все провайдеры и хостеры будут разбираться с досом. Просто рубанут порт и перенаправят трафик в левую подсеть.

>Я так понимаю от udp атак организация подобных модулей для web-серверов никак не спасет.

Оно даже от простой http атаки не спасает, если айпишники постоянно новые. Тут как: веб-сервер, кроме как по айпи, никак не может определить разные это пользователи, или один. И либо он не показывает всем вообще, либо показывает всем понемногу, но разные айпи всё портят.

Плюс сам вебсервер (в данном случае апач) жутко толст, он запросов статики то умудряется память в момент ужирать.

Вот пример. Есть один сайтик, интернет-магазин мобильников. Известный, в гугле и яндексе по некоторым запросам на первой странице, штук 30 магазинчиков по Москве и немного в регионах. Кто-то на него обиделся, и устроил совершенно детский ддос - все запросы шли только на пару урлов. Но при этом айпишники менялись постоянно, да и кроме http-запросов было ещё всякое, udp, все дела. Бан скриптом по айпи не помогал.

На сервере стоял апач + lighttpd для статики (лайт был перед апачем). Вот апач складывался от нагрузки за 30 секунд с mod_evasive, без него немного быстрее. Сервер с 2гб рам и каким-то там двухядерником.

Когда все урл-ы, которые ддосили, заблокировали через лайт (отдавали 403), стало полегче - лайт жрал ~15% процессора, сайт работал. Однако всё равно всё было медленно из-за остального флуда.

Помогла фильтрация трафика через стороннюю компанию, за некрупную сумму они через себя пропускали трафик и резали всё лишнее, скорее всего хардварно.

Да и далеко не все провайдеры и хостеры будут разбираться с досом. Просто рубанут порт и перенаправят трафик в левую подсеть.

а чо, договор с провайдером позволяет провайдеру по собственному желанию отключать тебя когда ему вздумается?!!

Ну вообще смотря как составлен договор. Смотря с каким провайдером. Не стоит пренебрегать подобными «мелочами»)))