VPS при DDoS-атаках

Вам необходимо получить более подробную информацию о характере DDoS-атаки, прежде чем вы сможете ее предотвратить. Я хотел бы узнать у вашего хостинг-провайдера более подробную информацию.

Для предотвращения SYN-флуда требуются методы, отличные от HTTP-атак или атак на приложения.

Если это большой сетевой флуд, вашему провайдеру часто придется смягчать атаку в восходящем направлении. Если скорость входящих запросов больше, чем у вашего сервера, вы мало что можете сделать.

Для HTTP-атак или атак на приложения устранение последствий на сервере возможно, но может оказаться трудным.

При атаках на приложения / HTTP я часто использовал настройку обратного прокси-сервера Nginx для фильтрации нежелательного трафика и пропускания остального. Это может быть очень эффективным против определенных типов атак.

Правила брандмауэра могут помочь, если атака не получила широкого распространения. Однако, когда ваши цепочки правил разрастаются, производительность может пострадать.

Один дешевый трюк заключается в том, что если атака осуществляется в основном из одного региона, вы можете использовать диапазоны IP-адресов для конкретной страны, чтобы просто удалить этот регион, а не пытаться сделать это на основе IP-адресов. Конечно, тяжелый молоток, но эффективный.

Также ваш стек TCP / IP можно настроить, уменьшив время ожидания. Это особенно полезно для TCP-лавин, вызывающих полуоткрытые состояния соединения и длительные состояния TIME_WAIT.

Наконец, есть компании, которым вы можете платить $ $$ за фильтрацию трафика. Это не из дешевых, но, безусловно, еще один вариант.

Прежде чем я начну свою прогулку, я просто хочу отметить одну вещь. Я уверен, что в основном все согласятся с этим, но аппаратная система защиты от DDoS-атак обычно работает быстрее, чем их программные аналоги. Вы можете пойти по аппаратному пути, но опять же, программное обеспечение для защиты от DDoS-атак будет немного более экономичным (и даже бесплатным). Я не знаю аппаратную часть так же хорошо, как программное обеспечение, поэтому я не буду рассказывать о лучшем оборудовании для защиты от DDoS и всего остального.

Одна действительно простая система, которую вы можете установить, - это ConfigServer Security & Firewall (http://configserver.com/cp/csf.html). Благодаря этому вы получаете немного более легкий контроль над iptables и можете легко фильтровать атаки SYN / ACK и наводнение портов.

Вы также можете рассмотреть некоторые модули DDoS для Apache, такие как mod_evasive (http://www.zdziarski.com/blog/?page_id=442) или даже настроить Nginx как обратный прокси (http://www.rackaid.com/resources/using-nginx-to-fight-apache-ddos-/) для защиты от DDoS-атак.

Надеюсь, это немного поможет. Я страдал от DDoS-атак раньше, и с некоторыми системами, которые я использую лично (например, HTTP-кеширование, прокси-сервер Nginx, CSF), DDoS-атаки на мои сайты намного сложнее, поскольку они могут отфильтровать значительную часть трафика. Однако имейте в виду, что если вас поразит большой ботнет, вы можете инвестировать в аппаратную систему DDoS. Что касается того, как настроить его на вашем VPS, просто спросите своего провайдера. Большинство центров обработки данных имеют свои системы и инструменты для предотвращения DDoS-атак; вам просто нужно заплатить за это.