Ддос из 200 IP можно и без специального ддос хостинга отбить.
Попадают ли IP ботов в лог вебсервера?
Стоит ли nginx ?
Тактика такая – обнаруживаете IP ботов и блокируете их в iptables.
Не руками конечно обнаруживаете, а специальным софтом.
IP ботов можно получить либо командой netstat, либо из лога вебсервера.
Также рекомендую
1) установка лимитов на количество коннектов в nginx
2) настрйка параметров TCP/IP сервера
На виртуальном хостинге конечно защиту от ддос хорошую не сделать.
При ддосе нужно брать выделенный сервер и его защищать.
Например nic.ru навиртуальном хостинге за 15$/мес предлагает аппаратную защиту от ддос бесплатно.
Пробовал я размещать у них свой сайт под ддосом.
Их защита не выдержала даже слабого ддоса, а может они ее просто не включили или плохо настроили.
Насколько мощные ддос атаки вы планируете отбивать?
Когда входящий ддос трафик меньше пропускной способности вашего канала, то такие атаки можно успешно блокировать на самом сервере.
Например, если вас ддосят с пары сотен IP, то для блокировки такой атаки не нужен специальный анти-ддос хостинг. Достаточно настроить софт на вашем сервере.
Идея делать хостинг дома имеет много минусов.
1) канал дома обычно чаще не работает чем канал в датацентре.
2) Ширина канала дома в разы ниже чем в датацентре.
3) 100 ватный компьютер за месяц круглосуточной работы у вас потребит около 72 Квт, что в деньгах около 180 рублей в месяц на одно только электричество.
4) Если какие то материалы защищенные авторскими правами разместите на домашнем хостинге, то ваш домашний сервер могут конфисковать, и доказать, что вы это сделали будет намного проще.
5) Коммерческие хостинги сейчас предоставляют очень дешево большие дисковые объемы и широкие каналы, так что коммерческой выгоды в домашнем хостинге нет.
Но у домашнего хостинга есть пара больших плюсов.
1) Можно потренироваться в системном администрировании и использовании компьютерного железа.
2) Самому быстро добавлять то железо, которое захотите.
Если плюсы домашнего хостинга перевешивают, то сделать его не сложно.
Вам нужно.
1) Выделенный канал дома с постоянным IP адресом.
2) На ваших сайтах просто указывайте ссылки на скачиваемые файлы на ваш домашний хостинг по IP адресу.
3) Если свой домашний IP адрес светить не хотите, то ставьте на своем основном хостинге в датацентре nginx и проксируйте от него запросы на свой домашний сервер.
Проверьте утилитой nmap, какие внешние порты открыты у вашего сервера.
Что именно вы предлагаете в апаче настраивать?
При ддосе имеет большую роль настройка nginx, а не апаче
Ддос боты вообще не должны до апача доходить.
Доходить могут только первые боты, пока их еще не обнаружили.
Даже если апач будет выдавать ддос ботам страницу 403 (отказано в доступе) или 404, то при более 50 запросов в секунду апаче и сервер перестанет работать.
Вопрос.
При блокировке карты, всегда ли банк дает клиенту снять с нее все средства?
Или остаток на карте банк может забрать себе?
Лично я не смогу настроить iptables, что бы он обнаружил ддос флуд, со множества IP, но каждый ip не превышает лимитов.
Если вы это умеете, то вы большой специалист.
Ддос при котором боты долбятся с минимальными задержками без остановки, и я бы смог забанить парой строк в iptables.
Для бана ддоса, в котором боты маскируются под пользователей, мне проще анализировать логии вебсервера.
Если ддос идет с компа лигитимного пользователя, то пусть он идет лечит своих вирусов, а уж потом пусть по сайтом ходит.
Забоню такого пользователя с вирусом без малейшего сожаления.
Тем более бан IP не пожизненный, а всего на пару дней.
Ковыряется в логах и искать какой клик сделал пользователь, а какой его вирус – занятие не благодарное.
Да и пользователь не попав на сайт, быстрее догадается, что с его компом что то не так.
Правильно сказали, что вероятность, того что пользователь и его вирус в один день пойдут на один сайт – крайне мала.
Уверен, даже яндекс забанит такого пользователя без раздумий, если вирус станет долбить яндекс.
Алгоритм, который бы и ботов ловил и при этом пропускал запросы с этого же IP – не будет надежно блокировать ддос.
Это может выгладить так, например.
Владелец сервера отправляет по заранее согласованному протоколу файл со списком IP, которым нужно запретить доступ.
Софт датацентра принимает этот файл и запрещает вход IP пакетов в которых указан адрес отправителя из этого списка и адрес получателя – IP сервера.
Также можно организовать удаление IP из черного списка – либо по таймауту, либо по специальному (программному) запросу клиента.
