Научите бороться с DDoS-атаками на мой скромный сайт

Спасибо! Класс! хоть и ничего не понятно. Но я разберусь!

Только поясните пож-та, что я этим делаю, что блокирую или что?

К разговору про  HTTP/1.0

Ну вот прям первого беру

83.239.99.хх - - [01/Apr/2024:01:22:53 +0300] "GET /........../.....html HTTP/1.0" 200 35308

и дальше нахожу в логах его ip:

83.239.99.хх - - [01/Apr/2024:01:41:40 +0300] "GET /......./..другая.html  HTTP/1.0" 200 35308

и еще несколько страниц прошел человек с этим ip... Территориально ip Россия...

и так все!!! У меня в логах 5 млн строк  с 1 апреля по 23 апреля (ну включая атаку, с 22 апреля) и никого нет с HTTP/2 !!

Короче долго обьяснять, включите cloudflare и увидите что 99% живых юзеров идут по HTTP/2 потому что все современные браузеры работают через него в первую очередь

https://runebook.dev/ru/docs/browser_support_tables/http2

10-20 запросов в секунду это даже отдаленно не DDoS, нормальный сервер, с нормально сделанным сайтом, такой нагрузки вообще не должен замечать.

Понятно. 5 млн строк за 3 недели - это не ДДОС.

Если бы у вас был полноценный ДДОС, там было бы по 5 млн запросов В ЧАС, например. Или даже больше. А это так, фоновый шум.

Так что вопрос нужно переформулировать. Как отфильтровать лишние запросы к сайту.
Собственно вот, изучайте.
Ну а дискуссия на ровном месте по http - это особенность записи логов сервером в access, подключите Cloudflare там будет видно кто HTTP1, кто 2 или 3.

https://searchengines.guru/ru/forum/1075193

Если бесплатно надо это для вас пожалуй будет лучший вариант. Сами хорошенько погуглите что да как и настройте. Там ничего сложного нет.

Я отбивался следующими вариантами действий:

1 Вариант. Включаю в cloudflare режим under ddos на пол дня. Как правило, уже в этот момент ддосеры сильно грустнеют. Чтобы положить сам клауд нужны большие ресурсы, такого у рандомных людей нет. Так что уже это в 90% случаев защищает сайт от падения. Далее. Ставлю через специальный сервис мониторинг доступности сайта, когда он ложится, сразу включаю underr ddos, сайт поднимается. 3-4 таких повторения, и ддосеры пропадают. Ибо тягаться с клаудом - гемор, и того не стоит.

2 Вариант. Захожу в логи сервера/клауда, смотрю какие user-agent использовались для ddos-a. Если это школьный ddos, там будет набор из 10-20 штук, если более серьезный - их будет пару сотен. Но не бесконечное количество. Собираю самые популярные из них - делаю правило в клауде через waf, блокируя доступ к сайту с этим юзер агентом. Уже помогает значительно снизить нагрузку, и сайт переносит атаки. 

3 Вариант. Если ддос делался из за границы, тут вообще все просто, на время ставлю на ГЕО, с которых шел трафик - правило выдавать всем капчу на входе. Через пол дня - день, атака сдувается. 

Естественно, для всего этого нужен CloudFlare, жизнь без него я в 2024 году не представляю. Почти любой сервер может положить даже школьная атака, на самом деле. Но с клаудом - это решается нажатием одной кнопки, а без него - значительно сложнее. К тому же, клауд скрывает ip сервера, и у других людей не будет возможности узнать, какие еще на вашем сервере хостятся сайты. Это тоже играет роль в безопасности, ведь одно дело, когда пытаются положить 1 проект, а другое дело, когда злоумышленник знает весь список сайтов, и у него появляется больше возможностей напакостить. 

P.S. прочитал мельком что советуют выше... ну это такое себе, поможет от школьных атак. У более менее вменяемых ддосеров будут и ботофермы с мобильными IPv4, и разные гео, и что угодно. В общем, методы не очень актульные. Так что советую защищать сайт клаудом, или его аналогами. 

P.P.S. еще раз пролистал тему - в вашем случае поможет вариант 3, когда ддос делается из за границы. У вас там в качестве источников страны Сингапур, США,  Нидерланды, Япония. Просто проксируйте сайт через клауд. Потом зайдите в security > waf > create new rule, и создайте правило, чтобы выдавалась капча для этих стран (введите список 10 самых популярных). И в конце добавьте исключение для поисковых ботов (как на скрине).