Как защитить сервер на Ubuntu от сетевых атак?

Question

[BoneFletcher]

Dedicated-сервер на хостинге Hetzner, стали атаковать несколько раз в день. Логи от хостинга выглядят так:

Direction IN
Threshold Packets 200,000 packets/s
Sum 67,300,000 packets/300s (224,333 packets/s), 9,340 flows/300s (31 flows/s), 73.818 GByte/300s (2,015 MBit/s)
External 149.62.171.7, 230,000 packets/300s (766 packets/s), 1 flows/300s (0 flows/s), 0.009 GByte/300s (0 MBit/s)
External 88.156.164.202, 85,000 packets/300s (283 packets/s), 6 flows/300s (0 flows/s), 0.106 GByte/300s (2 MBit/s)
и дальше список атакующих IP-адресов

Похоже что атака просто забивает сетевой канал. Во время атаки сервер становится недоступен от 5 до 15 минут, видимо хостинг за это время банит атакующие IP и после этого сервер снова становится доступен.

Как можно защититься от таких атак? Может как-то можно ограничить трафик с одного IP, или это не поможет? Система Ubuntu 22.04.

Answer 1

[Vitaly Karasik]

Правильный ответ: подключить Cloudflare (или другой CDN с защитой от DDoS, просто Cloudflare наиболее подходящий для бедных).
Все попытки фильтровать/банить атакующих на уровне сервера не могут противостоять атакам. Да и хостер при массивной атаке отключит сервер.

Comments

[Евгений Залецкий]

Это тоже можно)

Answer 2

[Евгений Залецкий]

fail2ban поизучай. Какой порт у тебя открыт для мира?

Comments

[BoneFletcher]

В какую сторону изучать? Вижу туториал для SSH Brute-force, nginx и т.д. Как узнать куда именно идет атака? Открыты порты nginx (80, 443), mysql, много инстансов nodejs.

[Евгений Залецкий]

Вот информация про fail2ban
Вот информация про ключи

[AUser0]

Для iptables существует модуль connlimit, может блокировать коннекты с одного IP (или целой подсети), если их количество превысило указанный лимит.

А направление атаки смотрите в логах HTTP-сервера, как правило такие запросы однотипные и похожи как близнецы-братья (ещё и с ошибками в реализации).

[BoneFletcher]

Спасибо. Запретил ssh-вход по паролю, установил fail2ban, включил защиту для sshd и nginx-http-auth. К сожалению, не помогло. Он банит какие-то единичные IP, а атаку вообще не заметил. Ограничение соединений сегодня попробую. Еще вижу что есть возможность ограничить packet rate, тоже попробую https://unix.stackexchange.com/questions/163657/se...