Защита вашего сервера от ддос

Если суммарное количество запросов к сайту в этот момент выше установленного порога, то включаются алгоритмы анализа трафика и такой IP будет забанен.

Если же суммарное количество запросов к сайту НЕ превысит порога, то никто забанен не будет.

Пример возможной настройки программы.

Начать анализировать трафик при суммарной нагрузке выше 500 запросов в минуту.

Забанить те IP которые превысят хотя бы один из лимитов

1. сделали более 60 любых запросов к файлам PHP за минуту.

2. сделали более 80 любых запросов к файлам PHP за 2 минуты.

3. сделали более 100 любых запросов к файлам PHP за 3 минуты.

4. сделали более 20 запросов к одной и той же странице PHP за 2 минуты и запросов к другим страницам не делали.

5. сделали более 500 любых запросов к файлам графики за минуту.

6. сделали более 700 любых запросов к файлам графики за 2 минуты.

Эти лимиты задаются в файле конфигурации программы и могут быть индивидуально заданы для каждого сайта.

Плюс используется такой полезный на мой взгляд прием.

При мощной ддос атаке (например более 10 000 запросов в минуту) все лимиты начинают снижаться на определенный процент. Что позволяет при мощьной атаке повысить вероятность обнаружения ботов. Чем сильнее атака, тем больше снижаются лимиты.

Когда атака ослабеет, лимиты автоматически увеличиваются.

Когда атака прекращается, то анализ трафика вообще не производится и ни кто не банится.

zexis, тогда это можно назвать защитой от анализа сайта :)

С того времени атака на сайт всё не прекращается (3 месяца уж прошло), все это время защита успешно держит нападающих и сайты работают.

Помимо этого, Товарищ zexis часто проверяет защиту, по просьбе меняет настройки и вообще помогает бороться с этой напастью.

Если вас ддосят и вы не знаете к кому обратиться,- категорически рекомендую обратиться к нему.

Хотел бы тоже приобрести у вас защиту, вот только в асю не отвечаете(. Может есть другой способ связаться с вами?

Mortals, я почти весь день в аське, стучитесь.

Сообщений от вас не получал.

не знаю. но если сайт для испании только,

то можно через iptables отсечь все страны, кроме испании.

Отсекать зарубежные страны по IP это плохое решение.

Так как могут появится источники ддос внутри страны и защиты от них не будут.

Если идет HTTP флуд, то лучший вариант, это обнаружить флудящие IP и забанить именно их.

Почему???

А куда она вдруг денется? 🍿

my70 сделал вполне разумное предложение. Конечно, блокировать зарубежку по-умолчанию - не нужно. Но вот иметь соответствующие правила и подключать их при обнаружении DDoS - элементарный прием. Куда меньше будет ложных срабатываний.

из личного опыта могу сказать, что при атаке на СНГ-шные сайты около 95% ботов приходится на страны "левые", потому как ботнет на территории СНГ (тем более России) будет стоить на порядок дороже обычного.

потому у меня всегда есть "про запас" цепочка, навроде -m geoip --src-cc EE,GE,KZ,UA,UZ,US,LV,MD,NL,RU,AM,AZ,BY,PL (us и pl для ботов и операстов), которую можно быстро подключать, как уже сказал myhand, тем самым очень значительно снижать нагрузку на все что выше L3....

myhand, я имел ввиду, что защита в которой есть лишь блокировка зарубежного трафика, но нет иных способов обнаружения и блокировки ботов – не эффективна.

Сейчас я не вижу смысла блокировать зарубежные страны, даже во время ддос атаки.

Причина.

IP ддос ботов сейчас достаточно точно идентифицируются по мере их появления в течении 1-3 минут, не зависимо от того российские они или зарубежные. Если пойдут хитрые атаки, при которых IP атакующих не отличить от IP посетителей, тогда будет иметь смысл блокировать зарубеж и придумывать новые способы обнаружения ботов.

Кому интересно приведу статистику и выводы по моей работе в этом направлении.

1. Поступает в среднем 1 заказ на защиту от ддос в неделю.

2. Подавляющее число атак это HTTP флуд. В 90% случаев атаки ботов идут лишь на стартовую страницу.

3. Чаще всего IP в ботнете зарубежные. (особенно много из азиатских и арабских стран) Но иногда встречаются ботнеты в которых 10%-60% ботов из Российских подсетей.

4. Типичный ботнет это около 2000-10 000 тысяч разных IP. Из них в атаке участвуют одновременно не более 150 – 1500 IP в течении одной минуты.

5. В пике атаки составляют максимум 20 – 80 Мбит входящего трафика.

6. Самый большой ботнет с которым сталкивался состоял более чем из 100 000 разных IP обнаруженных за месяц атакующих один сайт, одновременно в атаке учувствовало около 1000 IP. Атака длилась с небольшими перерывами 6 месяцев. Зачем так долго, не спрашивайте, не знаю зачем.

7. На установку и настройку NGINX и моего анализатора логов у меня уходит около 2-4 часов. За установку защиты на один сервер беру 100$. После установки защиты провожу мониторинг ее работы до окончания атаки. Иногда требуется подкурутить лимиты, если защита делает ошибки.

8. Защита, установленная на выделенный сервер, всегда защищала по моему опыту от всех атак. Исключения составляли иногда слабые VPS с неоптимизированным движком сайта, который не держит нагрузку при повышении посещаемости в 2-3 раза.

9. Если у вас сайт на котором более 10-20 доменов или сервер для виртуального хостинга. То за его защиту я не возьмусь. Так как для каждого домена нужно делать индивидуальные лимиты и смотреть статистику работы защиты, а это занимает много времени.

10. Если на вашем сервере не более 2-3 сайтов, то тогда обнаружение ботов происходит более точно и эффективно.

11. Вероятность ошибочного срабатывания защиты во время атаки не более 0,5%-2%. Когда ддос атаки нет вероятность ошибочного срабатывания менее 0,5% и то это те пользователи, которые делают аномальные действия (например каким то софтом подбирают пароли или запускают скачивание сайта быстрыми качалками)