Как защититься от DOS атак на сервере с Nginx?

Question

[Виталий Макаров]

Добрый день светлейшие умы. Прошу сегодня вашей помощи.
Имеется сервер, на котором стоит панель Vesta + nginx. 3 дня уже идут атаки с разных ip адресов. Блочу один - досят с другого и так далее и в конечном итоге сайт ложится с ошибкой 500. Как защитить сервер? Хотел бы подробную инструкцию. Весь день читаю про различные модули к ngixn, про testcookies и так далее. Но везде все как-то в общих чертах. В общем HELP, PLEASE!

Comments

[Модератор]

Makaroff_93 дорогой пользователь, настоятельно рекомендуем еще раз обратить самое пристальное внимание на п. 3.1 регламента работы сервиса (и, в особенности, на его последний абзац).
В противном случае, ваши вопросы будут удаляться по причине тег-спама, а систематические нарушения приведут к блокировке учетной записи.

[stratosmi]

Как защититься от DOS атак на сервере с Nginx?

DDoS

Answer 1

[Довольный Айтишникъ]

А почему бы не воспользоваться сервисом Cloudflare и IP сайта скроете и от небольшого ddos и ботов защита будет, бесплатно.

Comments

[Виталий Макаров]

Как-то пытался. VPS на рег.ру зареган, менял там DNS, но ничего не происходило

[Виталий Макаров]

Вчера все таки удалось настроить сервер на Cloudflare. Поставил там защиту от DDOS. Спасибо за помощь!

[Виталий Макаров]

Только после подключения домена к Cloudflare не работает панель Vesta. Как исправить?

[Довольный Айтишникъ]

Makaroff_93, можно создать поддомен и указать что по нему доступ идет напрямую, а не через cloud

[Виталий Макаров]

По IP по порту 8083 заходит, а по домену и порту нет

[Довольный Айтишникъ]

Makaroff_93, посмотрите эту статью https://forum.vestacp.com/viewtopic.php?t=13810

[Виталий Макаров]

Довольный Жизнью, Немного не понял на счет поддомена. Если по site.ru:8083 не получается зайти, а по xxx.xxx.xxx.xxx:8083 получается, где xxx.xxx.xxx.xxx - ip сайта. Я так понял, что Cloudflare ip прячет мой. Невозможно сделать открытие сайта по определенному порту не через облако? SSL сертификаты у меня куплены свои

[Довольный Айтишникъ]

Makaroff_93, можно создать A запись на cloudflare my.site.ru и в настройках указать чтоб на этот поддомен траффик шел напрямую (чтоб облачко напротив этой а записи было серое) и заходить my.site.ru:8083

[Виталий Макаров]

Довольный Жизнью, Видимо я не понимаю как работает cloudflare)) Там уже есть такая запись. Разве, если создать такую запись весь смысл Cloudflare не теряется? На данный момент создал алиас в весте и добавил его в Cloudflare. Просто мне казалось, что весь смысл Cloudflare в том, чтобы как раз пускать сам сайт через облако

[Довольный Айтишникъ]

Makaroff_93, да, сайт весь через облако, но для себя можно создать отдельный поддомен с именем известным только вам и уже его пустить напрямую, для того, чтоб был доступ если вдруг cloud ляжет или еще какие пролемы

[Виталий Макаров]

Довольный Жизнью, Понял, спасибо. Что-то я даже не подумал, что могут возникнуть проблемы с cloud. Еще раз огромное спасибо за помощь!

[stratosmi]

Советовать Cloudflare для такой ерундовой нагрузки? Как описана у топикстартера:

3 дня уже идут атаки с разных ip адресов. Блочу один - досят с другого и так далее и в конечном итоге сайт ложится с ошибкой 500

Cloudflare больше проблем с избыточным кэшированием создает, чем пользы приносит.
Уж для так называемой "DDoS" атаки, которую можно вручную резать - Cloudflare никакое не решение.

[Довольный Айтишникъ]

stratosmi,

Cloudflare больше проблем с избыточным кэшированием создает

я вас удивлю, но кеширование можно и отключить

[stratosmi]

Довольный Жизнью,

я вас удивлю, но кеширование можно и отключить

Удивите, пожалуйста, и объясните - в чем же смысл такой "защиты" от DDoS.

[Виталий Макаров]

stratosmi, Смысл в том, что там есть проверочная 5 секундная страница + cloud прячет ip адрес.

[stratosmi]

Makaroff_93,

Смысл в том, что там есть проверочная 5 секундная страница + cloud прячет ip адрес.

Это можно легко организовать самому. И без неприятных последующих артефактов в лице избыточного кэширования Cloudflare.

[Виталий Макаров]

stratosmi, Я не думаю, что это так легко сделать. У меня 1 сервер, у cloudflare их куча по всему миру.

[stratosmi]

Makaroff_93,

Я не думаю, что это так легко сделать. У меня 1 сервер, у cloudflare их куча по всему миру.

В принципе вы правы.
Cloudflare - неплохая защита от DDoS для ленивых (ну или не подкованных). Это не в обиду.
Это действительно неплохой вариант, когда вам ничего и делать не нужно, а уже более-менее у вас работает.

Answer 2

[Vladimir Zp]

Если захотите своими силами отбиться от простеньких атак, то тут есть рекомендации https://serveradmin.ru/zashhita-web-servera-ot-ddos/ Там про iptables, ipset, анализ логов, refferer, nginx limit_conn и тому подобное.

Answer 3

[Mysterion]

testcookie module

Comments

[Виталий Макаров]

При установке пишет make: *** No rule to make target 'install'. Stop.
Хотя выполняю все от рута