Самый эффективный способ защиты от DDoS без Cloudflare и ему подобных?

Question

[JunDevTest]

Здравствуйте. Нужен ваш совет.

Предположим есть блог N на WP, на который приходит DDoS атака средней тяжести, сайт висит на сервере Nginx FPM+Apache2.

Всё это работает под управлением Ubuntu Server.
Может ли бедный блог Саши Пупыркина и его сервер выжить и выстоять без Cloudflare и ему подобных сервисов?
Если да, то какой метод эффективнее?

Answer 1

[АртемЪ]

DDoS это атака на отказ, когда оборудование не справляется.
Он бывает двух видов -

• Атака на систему - вам шлют кучу запросов, ваш сервер не справляется и сервис недоступен.
  
• Атака на канал - вам шлют кучу запросов ваш канал в интернет не справляется и сервис недоступен.
  

Первый вариант атаки можно отбить своими силами - поставить более мощный сервер, оптимизировать софт, игнорировать "тяжелые" запросы, фильтровать запросы. поставить еще один сервер, поставить балансировщик.
В общем все решаемо своими руками и малыми затратами, хотя нужны знания и опыт.

Второй вариант - не лечится никак, атака тупо забъет канал вашего хостера или провайдера и вы останетесь без связи.
Вы конечно можете купить реально широкий канал- но это огромные деньги и инфраструктура.
Cloudflare и ему подобные имеют огромные деньги, инфраструктуру, и кучу каналов - их забить практически невозможно, они выдерживают атаку на сеть и оказывают услуги по фильтрации трафика который идет к вашему серверу.

Comments

[JunDevTest]

Можно ли как-то выдавать заглушку, что-то вроде "сервер находится под ддосом, приходите позже или напишите мне по контактам XXX". Видел когда-то такое кажется. То что скорее всего свой DNS отдавал другой сервер в момент атаки, более менее понятно. Но ведь "дудосеры" могут положить и эту страницу на этом сервере, разве нет? Как можно определить что началась атака, на время атаки просто временно отключить сервер и разослать пользователям ( специфика, допустим, позволяет ), резервный адрес сайта на другом сервере и домене?

[АртемЪ]

JunDevTest, Еще раз - если у вас простой интернет канал - никакую заглушку вы не отдадите, связи не будет, канал будет забит.
Если у вас там доступ к магистральным каналам - для вас этот трафик вообще не серьезный, и вы даже не заметите атаки невооруженным глазом.

[CityCat4]

на время атаки просто временно отключить сервер и разослать пользователям ( специфика, допустим, позволяет )

Если специфика позволяет в момент начала атаки рассылать почту - это не атака. Ну или Вам cloudflare не нужен :)

[JunDevTest]

CityCat4, Предположим mail сервер находится в другом месте и у него свой канал. При начале атаки web-сервер посылает сигнал "SOS" на тот сервер и он уже рассылает письма ( например ). Но смысл понял, нужен сторонний сервис. Посоветуйте какой-нибудь сервис максимально недорогой или бесплатный ( денег совсем нет, это моё хобби, но вероятность атаки высокая, в связи со спецификой сервиса )?

[АртемЪ]

JunDevTest,

при начале атаки web-сервер посылает сигнал "SOS"

Каким образом он пошлет сигнал, если на него идет атака?

[АртемЪ]

Посоветуйте какой-нибудь сервис максимально недорогой или бесплатный

Такого рода услуги подразумевают аренду дорогостоящих каналов, поэтому не могут быть недорогими или бесплатными. Это дорого.
Но если ваш сервис приносит вам больше денег - вы заплатите.

[Stalker_RED]

АртемЪ,

Каким образом он пошлет сигнал, если на него идет атака?

По резервному каналу, например. Да и вообще не обязательно ему SOS отправлять. С внешнего мониторинга можно увидеть как упал сервер.

[CityCat4]

При начале атаки web-сервер посылает сигнал "SOS" на тот сервер

Не сможет он ничего послать - у него канал забит. Не сталкивались никогда с пардон, засорением канализации? Обнаружить его падение можно только сторонним пассивным мониторингом - не отозвался на пинг, например - караул, в ружье!
Возьмите VPS, поставьте там мониторилку - и ею уже почту отправляйте

Answer 2

[Stalker_RED]

"Средней тяжести" это по каким меркам?
О канале и серверном железе (виртуалке?) вы вообще не упомянули.

Если забивают канал - то самостоятельно вы ничего не сделаете.
Если перегружена виртуалка, то вас отключит хостер.
Если все не так плохо, то ставьте какой-нибудь fail2ban, настраивайте и радуйтесь (если получится).

В любом случае - удачи вам в этом начинании.

Answer 3

[Руслан Федосеев]

банальный udp шторм и вы можете защищаться от него как угодно - ничего не сделаете, только на уровне аплинка\хостера решается и выше....

Answer 4

[Станислав Бодро́в]

Может ли бедный блог Саши Пупыркина и его сервер выжить и выстоять без Cloudflare и ему подобных сервисов?

Нет. Он скорее всего толком не выдержит хорошего наплыва легитимных пользователей, а уж простой атаки на приложение подавно.