Hallo, nachdem ich nun seit Wochen nur noch am Bücher lesen, googeln usw. bin und trotzdem noch verzweifelt nach einer Lösung suche dachte ich frag ich mal hier nach. Gibt ja sicher Server-Profis hier die evtl. kurz Zeit haben uns zu helfen...

Daten:

Wir haben insgesamt 2 Server - mit suse 9.3 - 1 mit Apache (+ FPT / sonst nix - emails gehen über anderen provider) sowie 1 mit Mysql... und betreiben dort eine regionale Partyseite mit Community. Ca. 50.000 Klicks am Tag, 3500 Mitglieder.

Problem:

Eigentlich rennt alles prima, auch bei 200 usern gleichzeitig. Leider haben wir seit einigen Wochen das Problem das uns wohl jemand nicht mag und unseren Webserver mit Anfragen flooded. Mit netstat sieht man dann auch schön das bedeutend mehr verbindungen da sind wie user online (im Moment wieder 100 offizielle user online) aber Serverload bei 70! Bei den IP-Adressen die dann jeweils zwischen 10 und 30 Verbindungen aufbauen handelt es sich meist um T-Online Addressen. Komischerweise lassen sich die meisten davon nichtmal pingen, weshalb ich davon ausgehe das es sich um SYNFlood bzw. IP-Spoofing handelt. Auch konnte ich mit einem Serverstress tool (das Microsoftteil das es über google gibt) auch selbst nen Load von 80 erzeugen. Durch einstellen der server-tuning.conf hab ich nun wenigstens hinbekommen das nicht der ganze Server abkackt. Aber ereichbar ist er dann auch nicht mehr (wegen load)

Installiert haben wir mod_security und mod_evasive nur leider hab ich es bisher nicht hinbekommen diese mit iptables zu verbinden (Berechtigungsproblem?)

Das die Frage sicher kommen wird: nein ein Rootkit haben wir nicht installed, server wurde schon mehrfach wieder neu installed über den Hoster. Und es liegt definitiv am Apache, weil sobald der mit stop beendet wird ist der load wieder komplett weg - auch wenn ich ne statische Seite rein hänge und den rest der Page offline nehme ist der load auch ok.

Ich bin leider nicht soo der Linuxprofi ;( aber leider können wir erst in 6 Monaten auf nen managed Server wechseln ;(

Nun meine Fragen:

- hat jemand leicht verständliche Anleitungen/Tipps wie man IP-Spoofing SynFlood verhindert?
- Welche Möglichkeiten gibt es sonst noch? Ich hätte noch nen 3. Server zur verfügung den man als Firewall oder proxy nutzen könnte oder sowas...
- Wie kann ich mir aus logfiles oder so den "Täter" ermitteln - vermutlich gar nicht
- Wie kann ich die zwei Module an iptables hängen damit es mir solche blacklisted ips direkt schon in der Firewall raus haut?
- Gibt es eine Alternative zu iptables evtl. mit einem flood schutz?
- Bring ein Wechsel auf httpdlight oder apache2-worker evtl. die Lösung?

Wäre toll wenn mir jemand helfen könnte. Bitte keine Tips von wegen google oder so, da hab ich schon genug nachgelesen und keine richtigen Antworten gefunden ;(

Toady

Hi!

Grundsätzlich:
Das geht vernünftig nur am Router; die Pakete kommen ja doch bei dir an.
Du kannst deinen eigenen IP-Stack entlasten, und die Pakete direkt wegwerfen, aber sie kommen doch an.

Iptables bietet eine Fülle an Möglichkeiten, aber das endet in deinem Fall in einem SelfDoS.

Du kannst natürlich nur eine bestimmte Anzahl an SYNs pro Sekunde zulassen, aber woher soll iptables wissen, welches "gute" und welches "böse" sind? Der Angreifer wird wohl nicht so hirntod sein, und diese nur von einer Quell-IP aus losschicken (oder?).

Um die SYNs von einer IP aus zu begrenzen kannst du das connlimit-Modul verwenden:
http://www.netfilter.org/projects/pa...base-connlimit

Dann mal grundsätzlich:
Du suchst ein Konzept, das ist nicht mal eben in ein paar Postings in einem Weforum zu erarbeiten, dazu muss man, wenn man vernünftig arbeiten will, auch viel mehr Infos haben.

Wenn dein ISP das nicht anbietet, such dir einen Dienstleister, der dich da berät.

Man kann zB auch bestimmte IPS-Varianten einsetzen (zB snort_inline, Guardian, psad usw.), aber um das vernünftig zu machen muss man auch wissen, was durchkommen soll und wie die speziellen Angriffe auf dich aussehen.

onkelchen

Zitat:

Zitat von nofearm

Installiert haben wir mod_security und mod_evasive nur leider hab ich es bisher nicht hinbekommen diese mit iptables zu verbinden (Berechtigungsproblem?)

Was machst du da genau? Wie hast du mod_security konfiguriert? Wenn es, wie du sagst SYNFloods sind, kannst du die beiden Module vergessen, das ist eine andere Ebene im OSI-Schichtenmodell. Wie Toady schrieb, musst du die Dinge möglichst am Router blocken, dazu solltest du die Pakete analysieren und entsprechende Gegenmaßnahmen bei deinem Provider fordern, der alleine hat Zugriff auf deinen Uplinkrouter.

Zitat:

Das die Frage sicher kommen wird: nein ein Rootkit haben wir nicht installed, server wurde schon mehrfach wieder neu installed über den Hoster. Und es liegt definitiv am Apache, weil sobald der mit stop beendet wird ist der load wieder komplett weg - auch wenn ich ne statische Seite rein hänge und den rest der Page offline nehme ist der load auch ok.

Dann reden wir aber nicht von einer SYNFlood, sondern massenhaften HTTP Requests. Anstatt zu mutmaßen, solltest du dir einen Paketdump während eines Angriffs sichern (tethereal, tcpdump ...). Übrigens hast du uns noch nichts über Typ, Anzahl und Art der Pakete gesagt.

Zitat:

- hat jemand leicht verständliche Anleitungen/Tipps wie man IP-Spoofing SynFlood verhindert?

Siehe open. Als erstes solltest du im übrigens TCP Syncookies aktivieren.

Zitat:

- Welche Möglichkeiten gibt es sonst noch? Ich hätte noch nen 3. Server zur verfügung den man als Firewall oder proxy nutzen könnte oder sowas...

Das wäre eine Option, sobald du genau weißt, von welchen Angriffen du redest.

Zitat:

- Wie kann ich mir aus logfiles oder so den "Täter" ermitteln - vermutlich gar nicht

Du sagst doch selbst, die Täter spoofen IPs, erübrigt sich die Frage dann für dich?

Zitat:

- Wie kann ich die zwei Module an iptables hängen damit es mir solche blacklisted ips direkt schon in der Firewall raus haut?

Wir haben im Zuge des gulli.com-DDos einen Wrapper entwickelt, der das effizient ermöglicht.
- http://www.gulli.com/news/22c3-ddos-...nd-2005-12-30/
- http://www.gulli.com/news/gulli-com-...ke-2005-05-10/
- http://www.gulli.com/news/ddos-angri...om-2005-12-23/

Zitat:

- Gibt es eine Alternative zu iptables evtl. mit einem flood schutz?

nf-HiPAC ist ein schneller iptables Ersatz, der die Chains sehr viel effizienter abarbeitet.

Zitat:

- Bring ein Wechsel auf httpdlight oder apache2-worker evtl. die Lösung?

Finde es raus. Lighthttpd wäre ansonsten eine schnellere Alternative. Aber solange du nicht weißt, wer dich wie bombardiert, ist das relativ sinnlos.
Wäre toll wenn mir jemand helfen könnte. Bitte keine Tips von wegen google oder so, da hab ich schon genug nachgelesen und keine richtigen Antworten gefunden ;([/quote]

nofearm

Hey danke erstmal für die konstruktiven Antworten! Ich galub kaum das 1und1 oder auch server4you an den Routern irgendwas macht für uns. Ich werde mich jetzt aber mal mit tcp dump beschäftigen und versuchen was zu ziehen bei so einem Angriff.
Das Problem ist das die Konsole bei der Last dann kaum noch zu bedienen ist. Naja linux ist halt doch irgendwie Neuland für mich (windows nicht). Hab mich mal mit verschiedenen Büchern auseinander gesetzt aber evtl. kann ja noch jemand was empfehlen?

Danke für den tip mit dem Wrapper, den hab ich schon versucht zum laufen zu bekommen aber wegen suexec modul oder so will der nicht richtig laufen und bringt folgende meldung im suexec.log

uid: (636/web) gid: (104/104) cmd: wrapper
file is either setuid or setgid: (/srv/www/wrapper)

Habs halt nach nem howto gemacht. Irgendwie will er das wohl nicht ausführen wegen der Berechtigung oder? Wie mach ich das?

Was ich auch mal gemacht habe ist das keepalivetimeout in der apache2-tuning.conf auf 10 gestellt. Hat das irgendwelche negativen einflüsse?

nofearm

Noch was: es müsste doch ne möglichkeit geben die gleichzeitigen Verbindungen von einer ip aus mit IP Tables zu begrenzen? Also was weis ich, z.b. max 3 verbindungen pro sekunde pro ip oder so?

onkelchen

Zitat:

Zitat von nofearm

Hey danke erstmal für die konstruktiven Antworten! Ich galub kaum das 1und1 oder auch server4you an den Routern irgendwas macht für uns.

Doch das machen sie, wenn du sie darum bittest. Wenn du sagst, blockt mir bitte am Router UDP zu mir, machen die das auch.

Zitat:

Ich werde mich jetzt aber mal mit tcp dump beschäftigen und versuchen was zu ziehen bei so einem Angriff.
Das Problem ist das die Konsole bei der Last dann kaum noch zu bedienen ist.

Zumindest bei 1und1 hast du eine serielle Konsole, die nicht auf SSH angewiesen ist. Damit solltest du das hinkriegen.

Zitat:

Danke für den tip mit dem Wrapper, den hab ich schon versucht zum laufen zu bekommen aber wegen suexec modul oder so will der nicht richtig laufen und bringt folgende meldung im suexec.log

uid: (636/web) gid: (104/104) cmd: wrapper
file is either setuid or setgid: (/srv/www/wrapper)
Habs halt nach nem howto gemacht. Irgendwie will er das wohl nicht ausführen wegen der Berechtigung oder? Wie mach ich das?

Dann reden wir aber nicht vom selben Wrapper, zumal ich nicht wüsste, das für den von mir erwähnten ein Howto existiert *g*

Zitat:

Was ich auch mal gemacht habe ist das keepalivetimeout in der apache2-tuning.conf auf 10 gestellt. Hat das irgendwelche negativen einflüsse?

Noch einmal, solange du nicht weißt, was bei deinem DDoS passiert, kannst du da drehen soviel du willst. Das kann helfen, muss aber nicht, du kannst damit auch das Gegenteil erreichen.

Zitat:

Noch was: es müsste doch ne möglichkeit geben die gleichzeitigen Verbindungen von einer ip aus mit IP Tables zu begrenzen? Also was weis ich, z.b. max 3 verbindungen pro sekunde pro ip oder so?

Auch das ist möglich. Aber auch hier gilt, was ich eben sagte. Erst wissen, worauf du schießt, bevor du die Flinte überhaupt nur lädst. Diese Dinge können sehr leicht dazu führen, dass du dich selbst DOSt, wie Toady schon angedeutet hat.

Vielleicht solltest du dir überlegen, deine Server fremdadministrieren zu lassen, das beschert vor allem dir sehr viel weniger Probleme.

nofearm

wrapper: doch hier: http://www.fbis.ch/index-de.php?page=13&frameset=4

ist laut quelltext der selbe wrapper

Fremd Administration: ja klar, hätten wir machne sollen kost ja nur 10 euro mehr im Monat bei 1und1 - frage ist nur lösen DIE dann auch wirklich solche probleme bei nem managed server? Leider haben wir noch 9 Monate Vertragslaufzeit - und wie gesagt das ist n privates projekt, keine firma leider

Ich hab jetzt grad wieder 70 load gehabt und mal

netstat -apn|grep :80 |awk '{print $5}'|sort gemacht:

172.178.47.239:1303
172.179.193.129:61400
172.179.193.129:61410
172.182.202.204:1385
195.93.60.34:42352
195.93.60.67:39273
217.248.48.118:1087
217.248.48.118:1096
217.248.48.142:2843
217.248.48.142:2853
217.248.50.120:1331
217.248.50.120:1341
217.248.50.135:1970
217.248.50.135:1976
217.248.50.135:2040
217.248.50.135:2046
217.248.50.135:2174
217.248.50.135:2204
217.248.50.135:2232
217.248.50.135:2364
217.248.50.69:1200
217.248.50.69:1205
217.248.50.69:1207
217.248.51.111:1101
217.248.51.220:2299
217.248.51.220:2325
217.248.51.74:1581
217.248.51.74:1583
221.142.245.144:18365
57.67.17.100:40202
57.67.17.100:41053
57.67.17.100:42193
57.67.17.100:42562
62.104.132.125:2308
62.104.132.125:2323
62.104.132.125:2341
62.104.132.125:2342
62.104.132.125:2421
62.104.132.125:2422
62.104.221.81:34566
62.104.221.81:34919
62.75.252.128:3306
62.75.252.128:3306
62.75.252.128:3306
62.75.252.128:3306
62.75.252.128:3306
66.249.72.6:33668
80.226.138.255:4228
80.226.138.255:4242
80.226.138.255:4244
80.226.138.255:4247
80.226.138.255:4248
80.226.138.255:4249
80.226.138.255:4250
80.226.138.255:4251
80.226.138.255:4252
80.226.138.255:4253
80.226.138.255:4271
80.226.138.255:4273
80.226.138.255:64183
83.181.68.196:49244
83.181.68.196:49247
84.146.92.226:14221
84.146.92.226:14379
84.154.173.249:62559
84.154.173.249:62560
84.154.225.153:1485
84.154.228.133:4616
84.154.228.133:4619
84.154.228.133:4651
84.154.228.133:4652
84.154.228.133:4664
84.159.104.120:1366
84.159.104.120:1367
84.159.104.120:1368
84.159.104.120:1374
84.159.106.181:4689
84.159.106.181:4693
84.159.107.91:61304
84.159.111.134:61415
84.159.113.232:35349
84.159.118.215:1298
84.159.118.215:1305
84.159.118.215:1306
84.159.118.215:1307
84.159.118.215:1308
84.159.118.215:1309
84.159.118.215:1310
84.159.118.215:1311
84.159.118.215:1312
84.159.118.215:1313
84.159.122.227:1149
84.159.124.73:3042
84.159.124.73:3047
84.159.141.2:61326
84.159.141.2:61338
84.159.141.2:61341
84.159.141.2:61342
84.159.143.209:23904
84.159.143.209:23916
84.159.143.209:23920
84.159.154.29:62655
84.159.154.29:62657
84.159.17.52:61481
84.159.17.52:61488
84.159.17.52:61490
84.159.17.52:61491
84.159.17.52:61492
84.159.20.24:55576
84.159.20.24:55586
84.159.214.25:2086
84.159.214.25:2090
84.159.220.198:1911
84.159.220.198:1913
84.159.223.73:4563
84.159.224.236:55142
84.159.226.19:4884
84.159.226.19:4976
84.159.226.19:4984
84.159.226.19:4985
84.159.226.19:4986
84.159.226.234:2308
84.159.232.24:35305
84.159.232.24:35308
84.159.232.24:35319
84.159.232.24:35322
84.159.233.189:3156
84.159.233.189:3157
84.159.234.224:3600
84.159.239.248:1271
84.159.239.248:1275
84.159.239.48:14101
84.159.239.48:14102
84.159.243.47:3399
84.159.243.47:3456
84.159.243.47:3461
84.159.243.47:3462
84.159.243.47:3463
84.159.243.47:3464
84.159.243.47:3465
84.159.243.47:3466
84.159.243.47:3467
84.159.243.47:3468
84.159.243.47:3469
84.159.249.206:63917
84.159.45.162:64108
84.159.45.162:64122
84.159.48.233:63570
84.159.6.184:64505
84.159.80.155:1623
84.159.84.92:2943
84.159.84.92:2988
84.159.90.47:63247
84.159.90.47:63331
84.159.90.47:63342
84.159.94.156:1485
84.159.94.156:1486
84.159.94.2:13322
84.159.97.67:60946
84.159.99.187:64669
84.160.210.177:2317
84.160.210.177:2321
84.161.244.131:1217
84.161.244.131:1280
84.161.244.131:1282
84.161.244.131:1301
84.161.244.131:1332
84.227.66.26:1370
84.227.66.26:1377
87.193.7.127:4425
89.48.15.72:62320
89.48.15.72:62330
89.48.15.72:62403
89.48.15.72:62567
89.48.15.72:62574
89.48.15.72:62626
89.48.15.72:62633
89.48.15.72:62636
89.48.17.129:1184
89.48.18.100:1892
89.48.18.100:1906
89.48.18.100:1922
89.48.22.247:1779
89.48.33.118:16540
89.48.33.118:42396
89.48.33.118:46748
89.48.33.118:47004
89.48.5.246:61092
89.48.6.233:1156
89.48.61.63:62751
89.48.61.63:62875
89.48.61.63:62904
89.48.61.63:62905
89.48.61.63:62907

nur zum Verständnis, das heist das sind die offenen Verbinungen oder? Also nur IPs die EBEN angefragt haben oder sind da die IPs an die die Seitew gerade fertig ausgeliefert wurde auch noch dabei?

Toady

Zitat:

Zitat von nofearm

Hey danke erstmal für die konstruktiven Antworten! Ich galub kaum das 1und1 oder auch server4you an den Routern irgendwas macht für uns.

Dort werkelt mit an Sicherheit grenzender Wahrscheinlichkeit eine entsprechende Limitierung; die ist bei JunOS zB per default aktiv (allerdings recht unsinnig mit maximal 20 SYNs/Sekunde/pro Ziel/pro Quelle und dient mehr der Veranschaulichung - aber zB werden per default unmögliche Flagkombis wie zB SYN und FIN gedroppt).

Dort arbeiten nicht nur Idioten

Zitat:

Ich werde mich jetzt aber mal mit tcp dump beschäftigen und versuchen was zu ziehen bei so einem Angriff.
Das Problem ist das die Konsole bei der Last dann kaum noch zu bedienen ist.

Ethereal bietet die Möglichkeit, seine Dumps rekursiv zu überschreiben (eine Art Ring); so kannst du zB 20 MB festlegen, und Ethereal überschreibt diesen Ring dann dauerhaft; so kannst du es die ganze Zeit mitlaufen lassen. Evtl. geben die Apachelogs ja schon einen Anhaltspunkt.

Aber ich bleibe bei obiger Aussage:
Dir fehlt ein Konzept - du musst ersteinmal wissen, was du überhaupt willst.

Ich an deiner Stelle würde ersteinmal zu deinem ISP gehen, denn das ist primär seine Aufgabe; schließlich ist es letztendlich je nach Art des DDoS (so es denn einer ist) auch ein Angriff auf seine Infrastruktur, und je nach Last ist es sehr wahrscheinlich, dass noch andere Kunden davon betroffen sind.

Toady

Zitat:

Zitat von nofearm

Ich hab jetzt grad wieder 70 load gehabt und mal

netstat -apn|grep :80 |awk '{print $5}'|sort gemacht:

[169 quellen gesnippt]

Das ist alles?

Zitat:

nur zum Verständnis, das heist das sind die offenen Verbinungen oder?

Das steht im 6. Feld, das du nicht mit hast ausgeben lassen - lass mal den awk-Teil und sort weg, und filtere besser auf apache(apache2) statt auf :80, wenn du schon netstat mit -p aufrufst

Zitat:

Also nur IPs die EBEN angefragt haben oder sind da die IPs an die die Seitew gerade fertig ausgeliefert wurde auch noch dabei?

S.o. - das stht im Feld dahinter, ob die Verbindung gerade aufgebaut, geschlossen oder established/assured ist.

onkelchen

Zitat:

Fremd Administration: ja klar, hätten wir machne sollen kost ja nur 10 euro mehr im Monat bei 1und1 - frage ist nur lösen DIE dann auch wirklich solche probleme bei nem managed server? Leider haben wir noch 9 Monate Vertragslaufzeit - und wie gesagt das ist n privates projekt, keine firma leider

Das meinte ich nicht. Du kannst die Serveradministration auch auf darauf spezialisierte Firmen outsourcen. Das hält dir diese Probleme vom Hals, mit denen du augenscheinlich überfordert bist, ohne dir zu nahe treten zu wollen.

Zitat:

Zitat von Toady

Ich an deiner Stelle würde ersteinmal zu deinem ISP gehen, denn das ist primär seine Aufgabe; schließlich ist es letztendlich je nach Art des DDoS (so es denn einer ist) auch ein Angriff auf seine Infrastruktur, und je nach Last ist es sehr wahrscheinlich, dass noch andere Kunden davon betroffen sind.

Hihi, OT aber erinnere mich noch gut daran, wie $ISP bei einem anderen $DDOS feststellte, dass ein 750 MBit/s DDoS einen Peer zum Uplink vom Exchange lahmgelegt hat, du glaubst gar nicht, wie schnell und "professionell" die da reagiert haben. *g*

nofearm

Vielen dank für die bereits vielen hilfen. Ich bin grad am überlegen ob wir nicht alle doch zusammen legen und uns doch noch nen 2. server mit Managed bei 1und1 holen. Hat jemand erfahrungen damit? Also ich meine, werden diese Probleme dann weg sein und kümmern die sich bei nem Managed darum oder stellen die halt den "Webspace" zur verfügung und solche Sachen hört man dann "da können wir nix machen". Wollen halt nicht nochmal 110 Euro/Monat investieren bis wir den anderen Server kündigen können, wenn die Probleme damit nicht erledigt sind. Oder welchen Hoster würdet ihr empfehlen?

Ich geb ja zu das ich mit der Geschichte bissl überfordert bin. Apache, Mysql usw. installieren ist ja eine Sache aber sich mit TCP Protokoll, Syns usw. auszukennen doch ne andere

nofearm

Zitat:

Zitat von Toady

Das ist alles?

Ja, wobei, mit nem Serverstresstool wie dem von M$ kann ich von zuhause mit meiner DSL Leitung auch 100 load erzeugen, wie kann man den gegen sowas vorgehen?

Toady

Zitat:

Zitat von onkelchen

Hihi, OT aber erinnere mich noch gut daran, wie $ISP bei einem anderen $DDOS feststellte, dass ein 750 MBit/s DDoS einen Peer zum Uplink vom Exchange lahmgelegt hat, du glaubst gar nicht, wie schnell und "professionell" die da reagiert haben. *g*

Aber war doch sicher mal ne nette Abwechslung für die Mädels und Jungs im NOC, statt den ganzen Tag nur auf lustig-blinkende Icons zu starren waren die mal gefordert und mussten mal ne DROP-Regel auf dem Borderrouter einpflegen

Allerdings ist *das* was völlig anderes als hier, vermute ich.

Zitat:

Zitat von nofearm

Ja, wobei, mit nem Serverstresstool wie dem von M$ kann ich von zuhause mit meiner DSL Leitung auch 100 load erzeugen, wie kann man den gegen sowas vorgehen?

Also, ganz ehrlich:
169 Connections von 52 Quellen ist ja nun nix außergewöhnliches, ein DDoS schaut anders aus

Das sieht für mich so ganz normal aus, allerdings sieht man ja nicht, was sich hinter den einzelnen Verbindungen verbirgt.

Frag mal onkelchen, was der Indianer bei board.gulli.com so im Schnitt für Connections hält

Eine Load von 70 bedeutet, dass zeitgleich 70 Threads im Kernel hängen und CPU-Zeit wollen (diese sollten in 'top' fettgeschreiben darstehen) - wie schaut denn die Auslastung der CPUs aus, und wie verbrauchen die Zeit (hast du zB einen hohen Wert bei 'waiting' (wa))? Was macht der Indianer denn, bzw. was machen die Clients?

Schaut für mich jedenfalls nicht wie DoS aus, und wie ein DDoS schon gar nicht, es sei denn, die anderen 100k+ Connections hast du uns unterschlagen

Deutet eher auf einen amoklaufenden Indianer hin, oder die angestoßene Anwendung macht einfach zu viel für die Hardware.

Was machen die Clients denn, die zugreifen - stoßen die irgendwelche Prozesse an, die Unmengen an CPU-Zeit verschlingen?

Das erklär onkelchen aber besser mal, ich hab von Apache und PHP so viel Ahnung wie von Algenzucht

Zitat:

Zitat von nofearm

Also ich meine, werden diese Probleme dann weg sein und kümmern die sich bei nem Managed darum oder stellen die halt den "Webspace" zur verfügung und solche Sachen hört man dann "da können wir nix machen".

Ich vermute, die haben fertige Images, die sie aufsetzen, da wird nix groß optimiert sein, dafür ists rock-solid; wenns zu langsam wird werden sie dir nahe legen, das mit Hadware zu erschlagen statt die Anwendungen zu optimieren.

Aber wenn wirklich Angriffe auf deine Kiste gefahren werden würden müssen die schon irgendwie reagieren, du kannst dich da schön zurücklehnen und musst nix machen, außer dich um deine Anwendungen kümmern; du hast dann auch keinen Rootzugang mehr und wenn du was haben willst musst du das mit dem Support ausmachen.

Oder du setzt onkelchens Vorschlag um und besorgst dir wen, der sich um die Kiste kümmert - ob das ins Budget passt ist natürlich ne andere Frage. Vielleicht findest du auch einen fähigen Studenten, der sich ein paar Euros dazuverdienen will - das kann dann für beide Seiten ein guter Deal sein.

nofearm

Hey danke für die Antwort. Mhhhh evtl. ist ja doch was an der apache-tuning.conf kaputt. Was wären denn gute Werte für n Webserver auf dem nur eine page (mit cms - also joomla) rennt und 512 mb ram (auf der kiste auf der das rennt gibt grad nicht mehr)... dann könnte ich das mal testen. Ich hatte die letzten tage auf alle Fälle das Problem das sich die Kiste aufgehängt hat. Es ist auch so das alles stabil lief und wir jetzt auhc nicht mehr user auf der seite haben. Es kann also sein es hat 130 user (laut Cms who is online) auf der page und alles rennt super schnell mit nem load von max 1-2 und dann plötzlich steigt der load enorm nach oben.

onkelchen

Du wirst es nicht glauben, ich habe keine Ahnung was in deiner apache-tuning.conf steht. Zur Last, das was Toady sagt.

nofearm

Ich bin doof

... hier natürlich die Daten:
Ich habe diese verändert nachdem der Server die letzten Tage immer bei diesen "Last-Anfällen" komplett ausgestiegen ist, immerhin fängt er sich nun wieder aber vieleicht hab ich auch etwas flasch gemacht? Wäre über jeden Tip dankbar.

-------------------------------------

# prefork MPM
<IfModule prefork.c>
# number of server processes to start
StartServers 3
# minimum number of server processes which are kept spare
MinSpareServers 3
# maximum number of server processes which are kept spare
MaxSpareServers 8
# maximum number of server processes allowed to start
MaxClients 120
ServerLimit 150
# maximum number of requests a server process serves
MaxRequestsPerChild 10000
</IfModule>

#
MaxKeepAliveRequests 300

#
# KeepAliveTimeout: Number of seconds to wait for the next request from the
# same client on the same connection.
#
KeepAliveTimeout 10

vmk

Ich habe zwar keine Ahnung von Apache, aber schätze dein Konfig sowie deinen Server nicht als optimal ein.

Du schreibst selber: 512MB Ram sowie Ca. 50.000 Klicks pro Tag. Damit dürftest du locker auf 50Klicks/s kommen.

MaxRequestsPerChild 10000: Wieso? Ich würde da eine simple 0 eintragen.
MinSpareServers 3 und MaxSpareServers 8: Würde ich etwas höher setzen, da hast schließlich einen Webserver.
MaxClients 120: Damit hast du dann gleichzeitig 120 Apachen am laufen, aber nur 512MB RAM. Das geht nicht gut, ich denke die Kiste swappt dann und plötzlich wird alles sehr langsam.

Benutzt du für deine Community auch noch eine Datenbank wie MySQL? Die verbraucht auch noch gut RAM + Rechenzeit.

Ich denke, jemand der sich mit Apache in größeren Umgebungen auskennt, wird dir sicherlich ein paar gute Tips geben.

edit: Was auch noch ein wichtiger Faktor ist: Wie cachst du? Ich denke, du wirst php benutzen, oder? Du kannst ja nicht die Seiten jedesmal live neu generieren.

nofearm

Danke!... also die Datenbank rennt auf nem extra Server .. der hat max load von 0.5-1 obwohl auf dem Datenbankserver auch nur 512 Ram hat und noch andere kleinere Seiten dort drauf rennen (aber die haben natürlich nicht solche Besucheranstürme). Also im Moment sind wieder 170 user online und die Seite rennt ganz gut, naja abwarten bis wieder was kommt. Ich selbst hab das eben mal getestet mit diesem Microsoft Server Stress Tool über google. Damit konnte ich es von meinem DSL 2000 Anschluss auf einen Load von 90 bekommen. Denke wenn das jemand anderes auch in der Art macht ist schluss mit performance.

Für php nutzen wir eAccellerator, CacheLite sowie den Cache von Joomla/Mambo. Vieleicht ist das Problem mit einem managed Server XXL mit 4 Gig Ram sowie einen 2 Gig Mysql-Server ja dann gelöst, aber naja kostet halt auch gleich das doppelte mindestens

Anzeige

Anmelden