Можно ли организовать простейшую защиту от DDOS не на уровне конфигурации сервера, а на уровне кода PHP? Может кто-то использует готовые решения, тогда поделитесь ссылочками, пожалуйста.
анти-ддос «на уровне php» — сам по себе — ерунда, по определению. Можно оптимизировать код, чтобы он занимал меньше памяти, меньше процессорного времени, меньше «долгих» запросов к БД и т.п. Но это все имеет смысл делать просто так, как правило, а не в попытках отбить ддос.
На базе кода php можно сварганить IDS, что успешно и делают некоторые.
можно перед отдачей страницы класть html в кэш (redis, memcached, а ключ составить из запроса и критичных кук), а в index.php до всего-всего-всего проверять наличие флага «повышенная нагрузка». если флаг стоит — не грузить php код, а отдавать страницу из кэша.
флагом может быть файл — например по крону проверять нагрузку на сервер и создавать /tmp/ddos, если она повышена
Когда DDOSят, главной задачей ставят нагнуть определенный сервис или весь сервер.
Защищаясь от ддоса с помощью php, особых плюсов это в большинстве случаев не принесет (ну разве что, напр., снимет нагрузку с СУБД). А канал так и останется забитым, очередь подключений — полной, апач будет молотить максимальным кол-вом процессов, кто-нибудь доест остатки свободной памяти… А там уже не только пользователям сервиса будет сложно пробиться на сайт, но и админу по ssh.
Защита от DDOS — всегда комплексный подход, а иначе это не защита.
Если ваш скрипт на пхп будет первым делом лазить например в мемкэш и проверять сколько подключений за минуту было с такого же адреса, что и сейчас, и если больше порога, то соединение быстро закрывать, то в теории с небольшим ДоСом вы справитесь. Впрочем если он по те же критериям будет формировать .htaccess с директивами deny from — будет быстрее. А если еще и перед апачем случайно nginx стоит, то есть шанс, что ваш сайт будет даже работать.
My<cod/>.net
