Bekijk Volledige Versie : Cloudflare overlast
Goede Middag,
Op mijn server is er 1 site die voor overlast zorgt. Sinds kort hebben zijn een gratis Cloudflare-account en sindsdien is deze overlast fel verminderd.
Doch, af en toe (zo om de 2-3 dagen) gaat mijn serverload terug de hoogte in (naar +100) en als ik de apache server-status dan bekijk, zit ik met een 240-250 connecties komende van cloudflare IP's.
Enig idee/suggesties hieromtrent?
Alvast mijn dank :)
Waarschijnlijk is dan de gecachede content op cloudflare expired en gaat hij op jouw server de nieuwste versie opvragen.
Waarschijnlijk is dan de gecachede content op cloudflare expired en gaat hij op jouw server de nieuwste versie opvragen.
Dat dacht ik ook, maar het toch niet normaal dat deze dan alles plat trekt?
Dat dacht ik ook, maar het toch niet normaal dat deze dan alles plat trekt?
Dat ligt er aan, wat zijn de server specificaties van de webserver ?
Yourwebhoster
05/05/14, 14:22
Ipv te kijken naar het aantal connections van Cloudflare zou ik eerst kijken naar wat ze doen. Kijk je bij CloudFlare (https://www.cloudflare.com/plans) dan zie je dat het gratis plan geen anti-DDoS ondersteuning heeft en WAF bijvoorbeeld ontbreekt. Hierdoor zou het prima kunnen dat het aanvallen zijn die Cloudflare niet filtert omdat dat niet in het gratis pakket zit.
Kijk je naar server-status dan zal je bij de extended informatie zien welke pagina's geopend worden. Vaak is hier een ritme in terug te vinden.
Dat ligt er aan, wat zijn de server specificaties van de webserver ?
Quad-core Xeon 3.6Ghz
8Gb DDR3
dual uplink
Het is 1 bepaalde wordpress-site die steeds voor problemen zorgt, met de inschakeling van Cloudflare is het zoals ik zei fel verbeterd, maar af en toe is het terug prijs.
zie ook:
server-status (http://users.telenet.be/bottie/Server2/apache.pdf)
zit ik met een 240-250 connecties komende van cloudflare IP's.
En waaruit haal je dat, zijn het daadwerkelijk cloudflare ip adressen of de ip adressen van de border cdn's. Je weet toch dat je de cloudflare module kunt/moet installeren voor apache zodat je de daadwerkelijke ip adressen van de clienten ziet in plaats van de cache servers van cloudflare.
https://www.cloudflare.com/resources-downloads => Logging Real Visitor IP Addresses: mod_cloudflare for Apache httpd
Because CloudFlare acts as a proxy, you will notice changes to the way that your website visitors' IP addresses are displayed both in your server logs and web applications - notably that all access appears to be coming from CloudFlare IP addresses.
Het zijn inderdaad IP van CDN's van cloudflare. Voordat cloudflare was ingeschakeld was het wel elke dag tot meerdere keren per dag prijs op die site, met serverloads tot +600. Sinds de inschakeling sporadisch ...
Ik weet dat je die module moet installeren, maar ik vraag mij dus af waarom het nu sporadisch is en niet meer elke dag? Als een gratis account geen WAF/DDOS-setting heeft, moeten deze high serverloads toch blijven komen, en niet meer af en toe?
Yourwebhoster
05/05/14, 19:34
Het zijn inderdaad IP van CDN's van cloudflare. Voordat cloudflare was ingeschakeld was het wel elke dag tot meerdere keren per dag prijs op die site, met serverloads tot +600. Sinds de inschakeling sporadisch ...
Ik weet dat je die module moet installeren, maar ik vraag mij dus af waarom het nu sporadisch is en niet meer elke dag? Als een gratis account geen WAF/DDOS-setting heeft, moeten deze high serverloads toch blijven komen, en niet meer af en toe?
Dan zou de aanval dus altijd blijven plaatsvinden en meestal kost dat de aanvallers te veel. Daarom spreiden ze het vaak over meerdere dagen. Maar als ik de logs bekijk dan zou ik het niet direct een aanval noemen. Wel valt de vele POSTs op en vraag ik mij af of het niet gewoon grote hoeveelheden bezoekers zijn. De website is immers ook niet erg snel te noemen (2.3 seconden generatie tijd als ik snel kijk).
Dan zou de aanval dus altijd blijven plaatsvinden en meestal kost dat de aanvallers te veel. Daarom spreiden ze het vaak over meerdere dagen. Maar als ik de logs bekijk dan zou ik het niet direct een aanval noemen. Wel valt de vele POSTs op en vraag ik mij af of het niet gewoon grote hoeveelheden bezoekers zijn. De website is immers ook niet erg snel te noemen (2.3 seconden generatie tijd als ik snel kijk).
Dagelijks gemiddelde:
Hits: 556590
Files: 472140
Pages: 99306
Visits: 7465
Tot een anderhalve maand geleden niks van downtime, 100% uptime op 144 dagen. Met 2.3 seconden zijn ze blij, was ooit 8-9 :D
CloudFlare kan alleen maar statische bestanden ontlasten. Dynamische aanvragen (al dan gefilterd) komen alsnog compleet door.
Mogelijk kan je Nginx voor Apache zetten om daarmee al een hoop af te vangen. Standaard vang ik met Nginx alle statische bestanden af die snel van de harde schijf worden gelezen zonder tussenkomst van Apache.
Bij diverse websites heb ik tevens gekeken hoe dynamisch ze daadwerkelijk zijn. Zo zal er voor gasten niet echt zichtbaar verschil zijn of ze nu of over 10 seconden de frontpage van WHT bezichtigen.
Je kan dus ook dynamische content 'slim' door Nginx laten microcachen door alle GET requests (die bepaalde leden cookies niet hebben) in Nginx proxy_cache te zetten.
Zoals The-BosS zegt is het inderdaad slim om het daadwerkelijke IP te loggen.