Можно-ли защититься от DDoS без сторонних сервисов?

Question

[Антон]

Здравствуйте, на мои сайты часто происходят ддос атаки и хостер их отключает, бесплатные сервисы например Cloudflare не помогают (платные пока не могу себе позволить) можно-ли самостоятельно как-то защищаться? Например скриптом детектить зомби машины и банить их по ip через .htaccess или еще как нибудь. Буду благодарен за любые советы!

Answer 1

[Иван Шумов]

Hashicorp consul. Настраиваете health check и вперёд. Есть ещё вариант с haproxy. Да хватает способов. Только если проекты серьезные то все это полумеры. Дороже будет настроить и изучить самостоятельно чем использовать, например, WAF + Cloudfront в aws

Answer 2

[АртемЪ]

Зависит от типа DDOS.

• Если идет атака на отказ сервера - можно. Оптимизируете софт, ставите более мощное железо, фильтруете "плохие" запросы, и.т.д.
  
• Если идет атака на отказ сети - нельзя. Канал тупо забивается, и происходит это вне вашей зоны ответственности.
  

Answer 3

[Сергей Горностаев]

От 300 000 запросов в час защититься легко. Почитайте здесь - ДДос атака на nginx пакетами 1 байт?

Answer 4

[Анатолий]

1. Идеальное решение, взять 3 VPS и настроить Nginx балансировщик между VPS, цена вопроса составит порядка 1000р/мес.
2. Выбирать VPS с широким каналом 200-300Мбит (хотя по сути хватит и 100, если у Вас оптимизирован сайт), один VPS (резервный) можно разместить за границей.
3. Настроить защиту: если сайт для России, то IP-адреса с других стран можно заблокировать, сделать защиту от хотлинков, настроить fail2ban, настроить iptables,...

Как итог, получить защиту от 3 000 000 запросов в час минимум.

Проверить тестами сколько сейчас запросов может обработать Ваш сервер, может он уже при 20 запросах в секунду задыхается.
ИМХО нормально если сейчас обрабатывает хотя бы 50 в секунду.

И самое главное отказаться от Apache ))
А если у Вас еще и просто дешевый хостинг, тогда для начала просто взять VPS.
Или перейти на web хостинг с дорогим тарифом (с DDoS защитой), но это решение хуже VPS и дороже.

Answer 5

[Dimonchik]

от серьезных разве что железкой на свиче

Comments

[Антон]

Серьезные пока не рассматриваю, 300 тыс запросов за час как мне сказал провайдер это серьезно как вы думаете?

[Dimonchik]

в час нет, но имеет значение пиковая нагрузка, условно 5-10 тыс в сек опасны, другое дело что даже 3тыс в час держать сложно - дорого, для атакующего

[Антон]

dimonchik2013, Спасибо за ответ. На хостинге было какое-то значение ограничения связанное с процессором 15.0, это значение было превышено и 503 вылетело.