Алеандр

Зависит от того, что за сайт, какие у него задачи и контент. ВК, Госуслуги и прочие, насколько я знаю, извне не работают. В тематике, где у меня есть проекты - аналогично, все, кто пытается идти с VPN - получают дырку от бублика. Ну и я же написал: "ради тестов". На данный момент это не основной проект, а один из тех, на котором тестируются новые подходы для противодействия толпам ботов, которые слегка подутомили за последние пару лет.

В остальном, белые списки нужны для точечного исключения диапазонов IP, которые однозначно принадлежат нужным ботам или доверенным подсетям. Весь отстальной трафик считается нейтральным до анализа.

Из темы:
Sonnet AI написал очень крутую защиту от DOS средней и малой интенсивности на php - работает на любом хостинге и vds с php и mysql.

Никакого отношения вся эта тема, если не считать того, что ТС налепил тегов # в послесловии, куда воткнул и DDoS зачем-то, по сути, не относится к реальному ddos. И идиоту понятно, что никакая защита php от серьезного ddos не спасет и невозможна, поскольку это совершенно разные вещи. А от DOS, который указан и в заголовке, и в основном тексте темы - прекрасно помогает. htaccess для этих задач не работает только у тех, кто не знает как им правильно пользоваться, но им и не объяснишь.

Да и в целом, если прям цепляться к словам про малую интенсивность, то и от DDoS низкого качества вполне себе поможет. По крайней мере у меня на практике этой защиты хватает для того, чтобы отбиваться от десятков подсеток и ip одновременно с достаточно большой интенсивностью запросов. Если сервера хостинга в состоянии без серьезного повышения нагрузки на сервере отдавать 403 ошибку нагружающим ip, то задача сводится к тому, чтобы перестать отдавать сам сайт этим запросам, т.е. перевести все запросы из php/mysql на уровень выше, останавливая обработку на htaccess уровне. А вот если уровень ддоса будет серьезный и задача атакующего реально положить сайт - вот тогда да, такая защита не работает и не актуальна, но не в силу того, что не работает htaccess, а в силу того, что будет перегружен канал и сервер. Но тогда речи о php, логично, что и не идет, до него запросы даже не дойдут.

Учитесь читать от комментария, на который даете ответ, включая слова "Это, конечно, не защита от ddos, зато работает даже на не самых быстрых хостингах", а так же читать от старт поста, в котором написано про "DOS средней и малой интенсивности на php - работает на любом хостинге".

Остальное - это не ко мне. Вас ддосил что ли кто-то? Спасибо, конечно, что вы так верите в мои знания и возможности, только вот такой ерундой я не занимаюсь. А уж верить в то, что вы каким-то образом мне интересны кроме обсуждения в форуме - это вы очень высокого мнения о себе. Про репутацию - так вообще смех, это не я представитель хостера, у меня хостинга нет и услуг я не предлагаю, а вот пообщавшись с вами и почитав ваши комментарии публично - может кто и сделает какие выводы о вашей культуре общения и профессионализме.

Бла-бла-бла, игнорируем условие про "обычный хостинг" и начинаем рассказывать за ненужный клауд и прочие "высокие материи". Слышали уже, повторяетесь.

1) Перестаньте уже копировать пугалки из Интернета про то, как долго обрабатывается htaccess. У меня на одном из проектов, ради тестов, разрешены только белые списки IP. Все остальное запрещено. Файл htaccess содержит порядка 10 000 строк с масками подсетей на сотни тысяч адресов. Никаких лагов или тормозов, и это на дешевом хостинге, не наблюдается. Вам не надоело повторять чужую информацию, не проверив ее на практике?
2) Перестаньте рассказывать сказки о проектах, где нет ни одного обращения к БД и все в кэше. Есть миллионы проектов, где всегда выводится актуальная информация или проверяются данные авторизации. Вы, в принципе, слышали о том, что существуют проекты отличные от статейников, у которых можно загнать все в кэш? Про то, что вы сравниваете производительность обработки только htaccess и запроса, который включает его и плюс php/mysql вообще промолчу.
3) Про белые списки слышали? Тот же Гугл и Яндекс давным давно публикуют списки своих официальных ботов. Это не говоря о том, что есть временные баны, а не постоянные и контроль не только ip, но и юзерагента, например. И, в случае сработки юзерагент+ip не из белого списка - легко проверяется реальная принадлежность ip-адреса.
4) Доказанная эффективность - это практика, которой вагон и маленькая тележка, которая на хостинге позволяет отбиваться от большей части мусорных ботов, обсуждаемых тут же на Серче уже не первый год. В том числе и те, которые посещая мои сайты, обваливали отказы, время посещения или количество просмотров страниц.
5) Делятся опытом с тем, кто знает меньше вашего.

Это вы, видимо, стартпост не читали, в котором идет речь про "защиту от DOS средней и малой интенсивности на php". Вы в курсе, что такое DoS и что такое DDoS? Не покажете, где в стартпосте идет речь о DDoS?
И да, точно, вам в комментариях пишут, что применяется на практике на своих проектах, но вы не можете этого прочитать, а потому опять спрашиваете про "создать хоть один". Ну да, ну да.

Запросы к гуглу тупят, после таймаута все подгружается.

Каждому проекту - соответствующее решение. Там, где мне нужно чтобы сайт работал на отдельном сервере - он там и работает. Там, где сайт рассчитан на небольшой трафик - мне не нужен сервер, мне не интересно его обслуживать, не интересно этим заниматься и, главное, это экономически нецелесообразно. Для мелких проектов существует хостинг.

Вы понимаете, что даже при наличие кэша, одно обращение к php и mysql - это нагрузка? И чем больше ботов будет ее нагружать, тем быстрее выбираются лимиты хостинга. Зачем мне тратить лимиты хостинга на ботов, если их можно заблокировать? Вы с товарищем выше все никак не поймете простого: есть хостинг, есть лимиты, есть сайты, которым не нужно что-то большее, чем эта конфигурация. И для таких сайтов, где на 1000 уников в день приходится 100 тысяч запросов от ботов - это рабочее, эффективное решение. То, что у вас есть nginx, iptables или вам нравится клауд - это не значит, что это есть у остальных. Вас послушать, так хостерам давно пора закрыть хостинг планы и продавать только сервера, а то че они )

И что с того, что они существуют? А еще существует невообразимое количество хостингов без доступа. Вы продолжаете бессмысленный спор, вам говорят о работе скриптов в условиях, когда нет других вариантов, а вы все о том, что бывает что-то еще. Это все равно, что клиент приедет на жигулях копейке, а вы ему будете задвигать про то, что есть в топ версии мерседеса. Вы серьезно не видите провала в логике в ваших рассуждениях? Зачем мне ваш Клауд с тем, что он косячит и находится не там, где мне нужно? Какой смысл в том, что "есть nginx", которым я не управляю на хостинге? Вы реально представитель хостера? А то я прям даже не знаю, учитывая ваши комментарии, насколько вы представитель.

При чем тут DDoS вообще, он даже близко тут не обсуждался и не обсуждается.

Бред полнейший - это ваш ответ. Что значит ДО сервера? На роутере? Какой у вас есть доступ к этим вариантам на хостинге? При чем тут ддос, вы читать не умеете? Я вам черными буквами по белому написал, что это не относится к защите от ддос, но максимально эффективно помогает от сканеров, ботов и кучи сумасшедшего мусора, который сканит все, что попало, знатно нагружая ресурсы сервера и выгребая лимиты по cpu/mysql на хостингах. У меня нет проблем с ддос, этим озабочены сами хостеры, а вот с огромным количеством спамящих ip - да. И это решение на 100% закрывает проблему такого спама на сайт.

Ага, только апач может на один запуск php скрипта отдать 100 ответов 403 под контролем htaccess, затратив при этом ноль учитываемого хостингом процессорного времени. И там, где 100 запросов в минуту нагрузят сайт, а то и превысят нагрузку, заблокированные 403 не поднимут нагрузку вообще.