php флуд защита

[Виталий Желтяков]

Цитата:

Разъясните пожалуйста, получается что защита от частого "F5" лучше всего реализовать на онлайн таблице сессий и/или куках?

Вам уже Johnatan достаточно неплохо описал что надо делать. Механизм следующий:
- на странице на событие onload вешаем процедуру обновления он-лайн таблицы, в которую вносим id-юзера, время и ip.
- с таблицей работаем следующим образом: если пользователь есть в ней (он-лайн), то обновляем время, если нет, то добавляем. Через определённое время чистим таблицу от старых пользователей, которые давно не обновлялись.
- если обновление происходит чаще чем в 5 сек., то делаем пользователю предупреждение.
- чтобы не было двойных подключений при старте работе на сайте (например, при авторизации) проверяем есть ли пользователь он-лайн. Если есть, то работать не разрешаем.

[maximka787]

[QUOTE=Через определённое время чистим таблицу от старых пользователей[/QUOTE]
А как чистим? cron-ом? каждые 5 минут вызывать?


[QUOTE=
- чтобы не было двойных подключений при старте работе на сайте (например, при авторизации) проверяем есть ли пользователь он-лайн. Если есть, то работать не разрешаем.[/QUOTE]
Поясни пожалуйста, а что бывают двойные подключения?)
я программер не с таким стажем, но про повторное подключение не слышал. На одного юзера одна сессия вроде как.

[Виталий Желтяков]

Цитата:

А как чистим? cron-ом? каждые 5 минут вызывать?

Можно cron-ом. Я лично при внесении обновления времени удаляю старые записи которым более 5 минут.

Цитата:

Поясни пожалуйста, а что бывают двойные подключения?)

Это одна из лазеек, которой очень часто пользуются спамеры. Суть в следующем:
- Запускаем один броузер и авторизуемся.
- Запускаем второй броузер и тоже авторизуемся под тем же самым логином.
- В итоге получаем два клиента, которые работают от одного логина.

[maximka787]

Цитата:

Сообщение от Виталий Желтяков

Это одна из лазеек, которой очень часто пользуются спамеры. Суть в следующем:
- Запускаем один броузер и авторизуемся.
- Запускаем второй броузер и тоже авторизуемся под тем же самым логином.
- В итоге получаем два клиента, которые работают от одного логина.

А с этим можно/нужно бороться?, или мало вероятно что так будут делать

[Johnatan]

У меня каждый запрос авторизированного юзверя (любого) делает запрос к базе, если есть записи старше 5 минут - почикать их. Запрос делается не каждый раз, а с вероятностью 50%. И не нужно крон напрягать.

[Виталий Желтяков]

Цитата:

А с этим можно/нужно бороться?, или мало вероятно что так будут делать

Можно не бороться и жить спокойно до появления на вашем сайте спамера или хакера. Ваше дело.

[pumbo]

1. Использовать сессии(куки) - легко обходится
2. Записывать в БД IP пользователей и проверять, чтобы слишком много запросов не шло за определенный промежуток времени.

Второй вариант обычно используют для защиты от парсинга.
А для защиты от флуда (DDOS) не поможет, т.к. ддосить могут сразу с нескольких тысяч компьютеров.

[Johnatan]

Цитата:

Сообщение от pumbo

А для защиты от флуда (DDOS) не поможет, т.к. ддосить могут сразу с нескольких тысяч компьютеров.

А у меня белый автомобиль!

Hint: найдите слово ddos здесь до вашего появления и получите приз. Отличная попытка сделать умное лицо.

[SkyM@n]

"против лома нет приема" (с) народная мудрость

На 100% защититься от ДДоС - абсолютно реально и легко. Достаточно вытянуть из сетевухи сетевой кабель.

А вообще - есть много способов, как отбиваться от мелких атак на сайт, например, mod_evasive. Но для достижения качественной защиты - все действия нужно совершать комплексно, начиная от расширений апача и качественного кода до аппаратных фаерволлов, кластерных систем и аварийных каналов связи.

Защищаться можно долго, все зависит от Ваших возможностей.

П.С. Защита от ДДОСа - меньше всего касается темы о РНР.

[Johnatan]

Тем вообще не про DDoS. Зачем оффтопить?