Как бороться с DDOS атаками на node?

Question

[Михайло Побережний]

Ребят подскажите как кидать в blacklist ip которые DDOS-ят сервер? или хоть скажите как получить количество конекшенов конкретной IP?

Answer 1

[Дмитрий Беляев]

Примерно так:

var http = require('http');
var ipTables = {};

var server = http.createServer((req, res) => {
    //Ваш обработчик запроса или express/connect вместо него
});

server.on('connection', socket => {
    var ip = socket.address().address;
    var time = Date.now();
    if(ip in ipTables) {
        if(time - ipTables[ip].time > 3000) {
            ipTables[ip] = {
                count : 1,
                time
            };
            return;
        }
        ipTables[ip].count++;
        ipTables[ip].time = time;
        if(ipTables[ip].count > 100) {
            socket.end('HTTP/1.1 429 Too Many Requests\n\n');
            socket.destroy(); //Обрываем соеденение, так как ip ломится слишком часто
        }
        return;
    }
    ipTables[ip] = {
        count : 1,
        time
    };
});

server.listen(80);

Answer 2

[Евгений]

Это не нодой нужно делать.

Comments

[Михайло Побережний]

а как?

[HoHsi]

Михайло Побережний: nginx / iptables

[HoHsi]

Михайло Побережний: а вы уверены, что это DDOS? Может это кто-то уснул на F5?

[Михайло Побережний]

ну мне прилетает например 10000 запросов по 1 адресу за 5-10 секунд, понятно что кто то просто пробует грузить сервер как его обломать?

[Михайло Побережний]

HoHsi: и можно это делать самой нодой?

[Евгений]

Михайло Побережний: nginx.org/en/docs/http/ngx_http_limit_req_module.html

[HoHsi]

Михайло Побережний: 10000 c 1 адреса за 5 секунд? Даже если в 100 потоков ходить, такой RPS выжать не получится. Мне кажется вы выдумали себе проблему. Попробуйте пересмотреть свою архитектуру / поменять сервер

[HoHsi]

Михайло Побережний: что делать самой нодой? Отсекать трафик, можно, но это как слепому дать винтовку.

Answer 3

[xmoonlight]

BAN=5^T;
Trigger: 5 qps (5 (queries per second) запросов в секунду с одного адреса на один и тот же URI)

Сработал триггер 1-й раз: BAN+=5^1 (5 секунд бан к оставшемуся времени)
Сработал триггер 2-й раз: BAN+=5^2 (25 секунд бан к оставшемуся времени)
Сработал триггер 3-й раз: BAN+=5^3 ((~2мин) 125 секунд бан к оставшемуся времени)
и т.д.

Кол-во срабатываний (счётчик) триггера инкрементируется до тех пор, пока не истечёт время BAN'a. Как только время истекло - счётчик триггера сбрасывается.

Answer 4

[netW0rm]

1. Проксировать трафик через nginx (инструкции в гугле)
   
2. Настраивать защиту от DDOS (и еще много всего полезного) в nginx (инструкции в гугле)
   
3. Профит)
   

Answer 5

[Roman]

Если настроить защиту в proxy или load balancer не вариант по каким то причинам, придется делать это в node.js

Я использую пакет rate-limiter-flexible
Позволяет ограничивать трафик, настроить дополнительные правила, а также у него есть стратегии блокировки и страховки, если у вас node.js запущен в кластере или на нескольких серверах