Я опытный веб-разработчик, но плохо знаком с серверами. Я учился на Digital Ocean, и один из моих сайтов постоянно подвергается DDoS-атакам. Я обнаружил две атаки, одна из которых - наводнение HTTP-запросов GET, которое продолжает заполнять мои файлы журналов. Другой - pingback-атака Wordpress.
Это делало мой сайт непригодным для использования, пока я не установил настроенный nginx для отсеивания ложных запросов и 444 их и не использовал fail2ban для блокировки IP-адресов. Я даже начал использовать Cloudflare, но оказалось, что это не так полезно, когда у них есть ваш IP.
Итак, мой вопрос: хорошая ли это стратегия? Сработает ли то, что я делаю сейчас, для таких атак? Даже сейчас мои файлы журналов заполняются. Я вижу даже адреса IPv6 в файлах журналов. Fail2ban показывает сотни заблокированных IP-адресов, но я все еще получаю запросы, и я не уверен, почему fail2ban их не блокирует. Fail2ban работает с IPv6? Можете ли вы предложить мне лучшие стратегии борьбы с такими атаками?
Получите новую каплю изменить IP-адресаи убедитесь, что ваш IP-адрес не публикуется с помощью CloudFlare. У вас не может быть никакой точки записи DNS на IP-адресе сервера. Это поможет, и CloudFlare отфильтрует много мусора и атак.
Конечно, могут быть атаки методом грубой силы на любой IP-адрес, но если это общий IP-адрес, трафик не должен попадать на ваш виртуальный сервер. Если это выделенный IP-адрес, что ж, это сложнее.
Вероятно, вам не следует иметь дело с атаками с использованием Nginx, сделайте это до того, как он попадет на ваш веб-сервер, чтобы уменьшить использование ресурсов. В AWS я использую группы безопасности, которые по сути являются брандмауэром. Если ДЕЙСТВИТЕЛЬНО предложите услугу межсетевого экрана, вы можете это получить. Если нет, то вам, вероятно, потребуется настроить программный брандмауэр на вашем экземпляре, чтобы он принимал трафик только от CloudFlare IP на 80/443 или ваш частный IP-адрес на более широком диапазоне портов, включая 22. Будьте осторожны, чтобы не заблокировать себя, поскольку динамические IP-адреса могут измениться.
Я не могу помочь с другими вопросами, но это должно помочь вам начать и двигаться в правильном направлении.