DDos ят сайт, есть опыт?

Ты пока ничего дельного не сказал. Обосновать можешь чем фильтрация по протоколу не подходит для отсеивания ботов?

Вполне себе способ. http/1.0, http/1.1 - это все старые клиенты. Да, в том числе - боты ПС, платежных агрегаторов и т.д..

Что мешает сделать беспрепятственный доступ для клиентов с http/2, при этом на остальных клиентов повесить ограничение на кол-во запросов с одного адреса, например, до 2-3 в секунду и, если превысили, то банить? При чем сперва можно забанить на короткий промежуток. Если после разбана снова большой всплеск запросов - банить на более длительный срок.

Отсеивание каких ботов? Гугл, яндекс, бинг, яху... ? Просто держи свой сайт на локальном компе без доступа в интернет. Лучшая фильтрация.

Прости только сейчас обратил внимание на твою репу ... с кем я спорю :)))

Посмотри на досуге, может поймешь чего...

Не знаю в тему это будет или нет, но есть один простой примитивный способ.

• Делаете легкую страницу-заглушку, только html - без ничего. Там пишете, что мол сайт находится под ДДоС атакой и что бы перейти на него нужно последовать по ссылке
• Ссылка ведет на ваш сайт, который крутится на другом (отличном от 80, 443) порту

Нужно только заранее перевесить сайт на другой порт.

Мера временная, но вроде как должно немного помочь. Когда атака прекратится, вернуть все назад и убрать заглушку :)

А вообще тут рекомендовали брать хостинг с защитой от DDoS. Я согласен с тем что не все атаки можно отбить. И невозможно угадать когда следующая атака начнется. Так что предложенный мной вариант конечно же нельзя назвать защитой от атаки. Но если ничего другого нет, а что то делать надо, то можно попробовать.

Посмотрел. Хуже решения никогда не встречал. Извращаться я смотрю ты любишь. Люби дальше.

П - пустозвон. 4 сообщения без грамма конкретики, по уровню своих комментов ты скоро догонишь всем известного робота.

D - debil. Свою кучу, которую ты там наложил в конфиге, комментируй сам. Твой опыт для меня пустое место.

Вроде тут должен справиться fail2ban, если просто логи сервера смотреть. Не знаю, можно ли его прикрутить к работе с базой данных, но мне видится нормой держать и анализировать IP адреса именно используя базу с таблицами innodb, а не через лог-файл.

IP адреса атакующих закидывать в iptables на 60 минут и дропать с них соединение в момент их установки.

adm.unix, Там в первом посте о том что канал забивают на 98%, какая заглушка, какая html? Статейный портал, атакующие разделы закешировать статичным кешем nginx для всех у кого нет куки авторизационной и никакие заглушки с сылками не нужны

mrmvd, fail2ban можно прикрутить к чему угодно, но туда ходит php, а не клиент по tcp, я так понимаю вы сильно далеки от прикладной части, раз предлагаете банить php локальный. На стороне nginx можно поставить бан по кол-ву запросов, но это все может вполне работать пока IP один и тот же, но ддосят обычно с тысяч IP по 1-2-3 запроса в секунду, по этому их таким способом не отсеять.

ТС, чтоб освободить канал нужно чем то прикрыться, проще всего каким то антидосером, типа https://ddos-guard.net/ru у них есть бесплатный тариф, или тем же клоудфлёром, но понадобится сменить IP и нигде его не светить в dns. Если ширины канала хватает, а ложат именно железо, то микрооптимизациями и кешем можно легко выехать, на крайний случай отдавать на запрос html на котором будет стоять редирект на тот же самый урл и который будет ставить куку по которой можно понимать что html отдавать уже не надо, а надо пропустить запрос на бэк, но лучше все заточить под статический кэш nginx, на этой штуке можно держать тысячи одновременных подключений при минимальных затратах ресурсов