Dziwne zachowanie nginx

SP24 | 2020-12-05 12:41:16 UTC | #1

Cześć
Od jakiegoś czasu zauważyłem, że zużycie procesora skacze do 100% przez co strona wyrzuca 502 Bad Gateway. Po kilku minutach zużycie wraca do normy. Używam nginx, php-fpm7.3, 1vCore a strona działa na Laravel.
Dorzucam screena z sytuacji:

Jakub | 2020-12-05 12:33:25 UTC | #2

Sprawdź logi nginx’a, może to jakiś atak L7?

SP24 | 2020-12-05 12:38:29 UTC | #3

Jest taki moment w logach, że pojawiają się tony takiego czegoś:
GET /zapraszamy?w70948911013D116831817586aT232883921797z1468350120C

Jakub | 2020-12-05 12:39:37 UTC | #4

[quote=”SP24, post:3, topic:17009”]
Jest taki moment w logach, że pojawiają się tony takiego czegoś:
[/quote]
Zapytania lecą z różnych adresacji?

SP24 | 2020-12-05 12:41:16 UTC | #5

generalnie są różne adresy IP, ale powtarzają się. Tak samo jest to wysyłane z różnych serwisów (fb, google, vk, bing itp.) w ciągu sekundy jest ich masa

Jakub | 2020-12-05 13:37:00 UTC | #6

W takim razie jest to atak L7, jak sam napisałeś jest to w PHP więc procesor się “dławi” przy dużej ilości zapytań.
Jeśli używasz cloudflare możesz tam ustawić reguły które pomogą blokować atak.

FairGames | 2020-12-05 12:43:41 UTC | #7

Atak na warstwie 7. Możliwe, że ktoś atakuje za pomocą hulk, zrób rate limiting dla PHP i przy wielu przekroczeniach limitu banuj IP’ka.

SP24 | 2020-12-05 13:00:42 UTC | #8

Masz może jakiś artykuł, który pomoże to ustawić? Jakie ograniczenia będą sensowne, aby nie blokować zwykłych użytkowników. Wspomnę, że na serwerze stoi również API

FairGames | 2020-12-05 13:30:35 UTC | #9

Przykładowy pierwszy lepszy poradnik
https://www.ryadel.com/en/nginx-request-rate-limit-protect-web-site-http-request-flood-dos-brute-force/

SP24 | 2020-12-05 13:36:54 UTC | #10

dzięki wszystkim za pomoc <3

system | 2021-01-06 13:36:57 UTC | #11

Ten temat został automatycznie zamknięty 32 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.