Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 21.12.2013, 16:14   #1
Аспирант
 
Регистрация: 16.02.2013
Сообщений: 108
Репутация: 10857

По умолчанию Борьбя с DDOS на VPS

Всем здравствуйте. Имеется слабоватый VPS (ОЗУ 512МБ).

Интересуют вопросы по защите сервера от DDOS атак.

Список модулей:
Код:
limit
length
ttl
tcpmss
multiport
multiport
tos
tos
dscp
icmp
udplite
udp
tcp
Как я понял, этими модулями вряд ли можно остановить какую-либо DDOS атаку.


Nginx, apache, mysql настроил. От ддоса все равно не спасает. Есть ли решения?
grisha2217 вне форума   Ответить с цитированием

Реклама
Старый 21.12.2013, 16:21   #2
aleksmso
Аспирант
 
Регистрация: 12.12.2013
Сообщений: 105
Репутация: -13042

По умолчанию Re: Борьбя с DDOS на VPS

iptables порты закрыть
aleksmso вне форума   Ответить с цитированием
Старый 21.12.2013, 16:50   #3
Den73
Академик
 
Аватар для Den73
 
Регистрация: 26.06.2010
Сообщений: 7,648
Репутация: 414676
Отправить сообщение для Den73 с помощью ICQ

По умолчанию Re: Борьбя с DDOS на VPS

Цитата:
Сообщение от aleksmso Посмотреть сообщение
iptables порты закрыть



тс,

не занимайтесь ерундой
Den73 вне форума   Ответить с цитированием
Старый 21.12.2013, 17:13   #4
foxi
Mik Foxi
 
Аватар для foxi
 
Регистрация: 03.03.2011
Адрес: Budva
Сообщений: 10,251
Репутация: 1076989
Социальные сети Аккаунт в Telegram

По умолчанию Re: Борьбя с DDOS на VPS

Den73, да ладно, в основном когда сайт на 5 баксовом вдс - так и ддос бывает 5 баксовый и вполне справиться можно внутренними средствами.
Я вот недавно держал http флуд на kvm vds 512 ram 1 core (у DigitalOcean), примерно лям запросов за 12 часов, в iptables (даже без ipset) отправил почти 2к /24 подсетей, и норм, ничего не падало, расход проца только стал на уровне 70-90% , после того как основная масса ботнета перебанилась - вдс нормально справлялся со своей задачей по проксированию трафа.
__________________
Антибот защита для сайта (плохие боты не пройдут) | Телеграм ЧАТ ВебМастеров | ВебМастерские микроблоги (палятся темы)
foxi вне форума   Ответить с цитированием
Старый 21.12.2013, 17:38   #5
grisha2217
Аспирант
 
Регистрация: 16.02.2013
Сообщений: 108
Репутация: 10857

ТопикСтартер Re: Борьбя с DDOS на VPS

Цитата:
Сообщение от foxi Посмотреть сообщение
Den73, да ладно, в основном когда сайт на 5 баксовом вдс - так и ддос бывает 5 баксовый и вполне справиться можно внутренними средствами.
Я вот недавно держал http флуд на kvm vds 512 ram 1 core (у DigitalOcean), примерно лям запросов за 12 часов, в iptables (даже без ipset) отправил почти 2к /24 подсетей, и норм, ничего не падало, расход проца только стал на уровне 70-90% , после того как основная масса ботнета перебанилась - вдс нормально справлялся со своей задачей по проксированию трафа.
Может, подскажете что-нибудь?
grisha2217 вне форума   Ответить с цитированием
Старый 21.12.2013, 18:01   #6
mark2011
Академик
 
Регистрация: 11.01.2011
Адрес: Internet
Сообщений: 2,265
Репутация: 6841
Социальные сети Профиль в ВКонтакте

По умолчанию Re: Борьбя с DDOS на VPS

grisha2217,
Советую установить mod_geoip для апача и банить целые страны. К примеру, Китай, Малайзия, Узбекистан, Таджикистан и им подобные. Таким макаром вы отсекаете "публику", которая заведомо не будет смотреть ваш сайт. Атаки, лично у меня, наиболее часто идут из Китая. И iptables проще, не нужно кучу айпишников банить, достаточно заблокировать страну. После блокировки, все личности, которые будут пытаться заходить на сайт из заблокированной страны или из-под прокси, который относится к заблокированной стране, будут отлетать по 403 ошибке, а в логах будет:

Цитата:
Client denied by server configuration
P.S. Только США не баньте, там гугл
mark2011 вне форума   Ответить с цитированием
Сказали спасибо:
Старый 21.12.2013, 18:09   #7
foxi
Mik Foxi
 
Аватар для foxi
 
Регистрация: 03.03.2011
Адрес: Budva
Сообщений: 10,251
Репутация: 1076989
Социальные сети Аккаунт в Telegram

По умолчанию Re: Борьбя с DDOS на VPS

mark2011, geoip лучше ставить к nginx и банить:
CN no;
TW no;
PK no;
HK no;
SA no;
BR no;
IN no;
FR no;
NL no;
DE no;
SE no;

Это основное, что не нужно для рунета. FR DE NL в этом списке, потому что с хенцзеров, лизвебов и прочих овх идет столько вредоносного, что они в некоторых случаях хуже китая будут.
foxi вне форума   Ответить с цитированием
Сказали спасибо:
Старый 21.12.2013, 18:09   #8
Den73
Академик
 
Аватар для Den73
 
Регистрация: 26.06.2010
Сообщений: 7,648
Репутация: 414676
Отправить сообщение для Den73 с помощью ICQ

По умолчанию Re: Борьбя с DDOS на VPS

foxi

я летом заказывал на себя для теста по 10-20 баксов, они делают до 100к RPS на layer 7, канальный флуд > 1гбит за эти деньги.
тоесть блокировка впс обеспечена.

mark2011

не нужно это делать, во первых не поможет а во вторых только навредите.
резать страны - плохой тон, вы еще капчу предложите))
Den73 вне форума   Ответить с цитированием
Старый 21.12.2013, 18:11   #9
foxi
Mik Foxi
 
Аватар для foxi
 
Регистрация: 03.03.2011
Адрес: Budva
Сообщений: 10,251
Репутация: 1076989
Социальные сети Аккаунт в Telegram

По умолчанию Re: Борьбя с DDOS на VPS

Den73, ну против забивания входящего канала конечно уже ничего не сделаешь.
foxi вне форума   Ответить с цитированием
Старый 21.12.2013, 18:12   #10
Den73
Академик
 
Аватар для Den73
 
Регистрация: 26.06.2010
Сообщений: 7,648
Репутация: 414676
Отправить сообщение для Den73 с помощью ICQ

По умолчанию Re: Борьбя с DDOS на VPS

Цитата:
Сообщение от foxi Посмотреть сообщение
Den73, ну против забивания входящего канала конечно уже ничего не сделаешь.
на openVZ будет плохо всей ноде (если администратор ноды не менял настройки сетевого стека) даже от атаки по layer7 (много трафика не нужно).
Den73 вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны