Где блокировать ip адреса для защиты сайтов?

Question

[psiklop]

Вопрос по эффективности и возможностям, опыта пока мало.
Допустим надо временно ограничить доступ только для одной страны.
Если взять ip тут https://www.ipdeny.com/ipblocks/ списки не большие это кажется не сложным.

Заблокировать ip можно в iptables, но это будут правила для всего сервера, это минус, а в чем плюс.
Действительно ли это самый лучший способ и такие запросы не дойдут до nginx, если так насколько это эффективней?

Далее если использовать для защиты сам nginx, намного ли это хуже, правда ли что я смогу настроить очень гибко для каждого домена и даже сделать редирект для ip не из списка ?

И если использовать php, допустим занести при загрузке сервера список ip в memcache и первым делом проверять любой входящий, получается максимально гибко, но насколько это хуже nginx?

Comments

[Everything_is_bad]

Если ты успешно отбиваешься на уровне php, по факту это даже дидосом можно с натяжкой назвать, так какой-то школьник балуется. Так же ты ни привел никаких данных о дидосе, может тебя просто боты сканируют, а ты написал неоптимальный код, который и кладем твой сайт.

[psiklop]

Everything_is_bad, если нам "плохо" какая разница ? Назови как хочешь если тебе от этого легче.

[Everything_is_bad]

psiklop, большая разницы, может для того чтобы перестало быть "плохо" будет достаточно найти и оптимизировать узкие места, например, по предыдущим вопросам понятно, что у тебе есть проблема с настройкой субд и оптимизации запросов к ней.

[psiklop]

Everything_is_bad, приходи и напиши господи. Только свое с ноля. Офигенная логика, получается любую долбежку в сервер можно решить просто написав все оптимально. Оно оптимально написано но для пользователей, а не ботов.

[Everything_is_bad]

psiklop, всё с тобой понятно, уперся, выводы сделал левые, ну ок, продолжай мучатся.

[psiklop]

Everything_is_bad, даже если ты напишешь оптимально, от спама в базу это не защитит. Базу раздует и никакой твой оптимальный запрос не поможет.

[Everything_is_bad]

psiklop, а как спам в базу связан с дидос? это вообще другое, и защищаются от этого по другому

[psiklop]

Everything_is_bad, ну так люди разным занимаются, у одних интернет-магазин, у других блог, у кого-то арбитраж, у кого-то форум, у кого-то онлайн игра. У кого-то связан напрямую.

Answer 1

[alexalexes]

Весь принцип фильтрации от DDoS состоит в том, чтобы чем дальше от основного сервера будет стоять фильтр, тем меньше аппаратных ресурсов будет потрачено, чтобы определить - пропускать запрос на основной сервер или нет.

Заблокировать ip можно в iptables, но это будут правила для всего сервера, это минус, а в чем плюс.
Действительно ли это самый лучший способ и такие запросы не дойдут до nginx, если так насколько это эффективней?

Для основного сервера будет плюс - не будет тратится ресурсы на обработку запроса на нем, гибкости меньше.

Далее если использовать для защиты сам nginx, намного ли это хуже, правда ли что я смогу настроить очень гибко для каждого домена и даже сделать редирект для ip не из списка ?

Будет гибче, но при DDoS будет напрягаться nginx.

И если использовать php, допустим занести при загрузке сервера список ip в memcache и первым делом проверять любой входящий, получается максимально гибко, но насколько это хуже nginx?

Будет напрягаться то, что стоит перед nginx + сам nginx + php. Один запрос в php - поднимается один процесс php - самая дорогая операция для сервера. Хоть СУБД это не будет напрягать, и другие хранилища данных, но цель атакующего будет достигнута.

Answer 2

[SunTechnik]

Почитайте, что такое DDOS.
Грубо есть три вектора атаки:
1. Загрузить сервер тяжёлыми запросами или атакой на взлом.
Тут поможет защититься любой из предложенных Вами способов.

2. Загрузить сервер количеством TCP сессий.
Тут поможет способ на ip tables.

3. Загрузить входящий канал (превысить его пропускную способность)
Тут не поможет ни один из предложенных способов. Нужен внешний сервер с большим каналом для предварительной фильтрации (условно - cloudflare)

Comments

[psiklop]

Понятно в принципе. cloudflare нужно платить за каждый сайт вообще не подходит.

[psiklop]

Насчет TCP сессий я так понимаю их можно увеличить в конфиге и если запросы будут быстро завершаться без выполнения кода это их сократит.

[tukreb]

psiklop, хаха, платить за cloudflare, вы не представляете во сколько миллионов в месяц вам обойдётся личная ддос защита, там не только широкий канал нужен, но и спец оборудование по цене самолёта.

[psiklop]

tukreb, ага платить лям за 100 люксов за гостинице? Вы даже не представляете сколько вам будет стоить построить свой метрополь.

[SunTechnik]

psiklop, А кто сказал что они будут завершаться? Это может быть поток syn flood - только запросы на открытие сессии.
У Вас они будут достоточно долго висеть открытыми, отжирая ресурсы.

Нет универсального ответа для защиты от DDOS. Это борьба сняряда и брони. Вопрос компромиса: сколько ресурсов Вы готовы потратить, сколько Вы теряете от того, что Вас задэдосили. Условной персональной страничке Васи, можно вообще забить на эту защиту...

[Everything_is_bad]

psiklop,

Насчет TCP сессий я так понимаю их можно увеличить в конфиге и если запросы будут быстро завершаться без выполнения кода это их сократит.

еще раз, без каких-то данных о дидосе, что-то конкретное советовать бесполезно

[psiklop]

Everything_is_bad,

ddos

[Everything_is_bad]

psiklop, нормально текстом нельзя что ли? и в сам вопрос это, чтобы все видел

[Everything_is_bad]

psiklop, в любом случае, мало что понятно, много таких ip? может просто руками их заблокировать в iptables? эти запросы доходят до nginx, это http запросы? какой трафик они генерят, забивают весь канал?

[psiklop]

Everything_is_bad, много, можно только оставить одну страну на время, остальное не вариант.

У нас сайты - они запрашивают сайты и разные страницы, но в основном они одностраничные.

[Everything_is_bad]

psiklop, ну вот опять никакой конкретики, самое нормальное в данной ситуации, нанять нормального сисдамина, чтобы он посмотрел что именно у тебя там творится и выдал варианты решение проблемы.

[psiklop]

Everything_is_bad, ты сейчас похож на такого парня, который специально путает и усложняет дабы накрутить цену. Там смотреть нечего, все снаружи.

Были как будто разные подходы, сначала был очень загружен процессор и много активных сессий в nginx-status, потом почему-то сессии упали в разы, но сервер жутко тормозил похоже на канал, даже по ssh никак поработать не получалось.

Я тут спрашивал сколько стоит такая атака в течении 2-3 дней, но мой вопрос удалили.

[psiklop]

Вообщем как показывает расследование ддосили не конкретно нас, а один зарубежный хостинг, атака в итоге переключилась на хетзнер, почему и почему именно нам сильно досталось пока не ясно.