ded-moroz-domoy-2020.fun
Она поддерживает блокировку по APF, CSF, ipfw, и iptables
Посмотрите на модифицированный ddos-deflate. Подробнее в сообщении:
/ru/forum/comment/16244211
Ее можно тонко настроить и проверить, будет ли она блокировать легитимных пользователей (по логам) выставив время бана например на 1 секунду. Также добавить поисковики в исключения по ip и hostname. Она висит в режиме демона и каждые 5 секунд блокирует нарушителей. Главное подобрать оптимальные параметры. Например 150 подключений с 1 ip.
Правда если вас атакует большой ботнет и делает очень мало запросов с каждого ip, то тут либо плагин test-cookie для nginx, либо блокировка по стране, либо фильтрация трафика через посредников.
В идеале снять нагрузку с бэкенда и притормозить их хотя бы на уровне nginx. Если они хоть как-то будут доходить до бэка, то сервер рано или поздно упадет
Если флудят с каждого ip и делают по 100 и более подключений, то дико рекомендую эту штуку
https://github.com/jgmdev/ddos-deflate
Висит в системе в режиме демона и бьет по шапке (раздает баны) моментально.
Есть список исключений по ip, подсетям, именам хоста и т.д.
Можно выборочно указать порты, кол. подключений с одного ip и время бана.
Банит Ip скрытые под cloudflare
Выбрать только входящие подключения (исключив исходящие)
И самая коронная фича: BANDWIDTH CONTROL. Мониторит трафик и при привышении лимита, ограничивает скорость для IP.
Мне кажется эту штуку надо вместе с OS поставлять. Правда настраивать аккуратно! В игнор добавить ip своего сервера и поисковики---------- Добавлено 03.11.2019 в 16:57 ----------И еще желательно нужно настроить nignx, выставить в проекты:
limit_req
limit_conn_zone
Возможно, не спорю. Просто ни от кого никогда не слышал, что кому-то завалили сайты или приложения на ovh. Натыкался только на обратные примеры, когда от ddos перешли на ovh, и через короткое время атакующие сдувались и не пытались больше атаковать проект.
В любом случае, тс будет выгодней воспользоваться фильтрацией трафика, чем брать в аренду сервер
Вроде как президент компании говорит об обратном
Защита либо фильтрация (которую Вам уже предложили), либо к серьезным провайдерам с защитой на уровне дата центра: OVH (полная защита), Hetzner (Все кроме L7 атак)
Первая цифра это количество подключений к серверу (либо непосредственно к сайту), вторая ip.
Первые 5 ip адресов это боты яндекса (остальные не смотрел). В яндекс вебмастере убавьте частоту обхода сайта и все будет норм
Как я понял, смешанный контент это относится к https напрямую, минуя http.
По крайней мере на http сайте, в момент когда грузится реклама с https я ошибок не вижу , а вот в когда наоборот (на https сайте подгружает с http), то chrome ругается на смешанный контент.
Они же первые уровни реализовали, в чем проблема дойти до L7? Бюджеты думаю у них есть...