Как отбить ddos атаку на сайт (сервер)?

Question

[Иван Иванов]

Более 1000 запросов в секунду по сервер статус

Скрин из VestaCP

Сервер не справляется. Пробовал проверять ip адреса по ненужным странам и добавлять их в iptable так:
iptables -I INPUT -s 172.69.186.0/24 -j DROP
сервер немного ожил, но все равно тормоза жуткие.
Насколько вижу по сервер статус атака идет на главную страницу сайта.
Уже заблокировал её в nginx, однако server-status все равно показывает более 1000 соединений в секунду.

location = /    {
		deny all;
	}

Что еще такого быстрого, легкого можно сделать? Возможно платно кто-то сможет помочь. Спасибо.

p. s. Свежий скрин из VestaCP:

Как видно, атака растет...

p. p. s. Атака закончилась:

Comments

[Araik]

Подключи cloudflare

[Иван Иванов]

Уже сделал. Жду, когда обновятся сервера. Плюс, если у заказчика есть реальный ip, то он может продолжить атаку по реальному ip. Можно конечно открыть доступ только для ip cloudflare, только не разобрался еще, где их взять.

[Иван Иванов]

Также переименовал файл /home/admin/web/site.pro/document_errors/403.html в 403.html123, т. к. он грузится вместо главной в vesta, а нам это не нужно, с этим нагрузка почти упала в ноль

Answer 1

[Radjah]

Можно заморочиться с fail2ban, например, можно спрятаться за Cloudflare.

Comments

[Valentin Barbolin]

Fail2ban реально помогает. Причем у себя блокируют жестко, если если fail2ban заметил сканирование портов или авторизацию по ssh, то IP пошел в бан на 1 день.

Answer 2

[Анатолий]

ip адреса с которых долбятся, разные? Если их не много, можно огранить например по 3 запроса в секунду с одного ip

ваш ресурс международный или локальный? можно ограничится только нужными регионами

если идет ddos надо смотреть, что за трафик, если пакеты, которые априори не интересны серверу, просто их блокировать

Comments

[Иван Иванов]

IP адресов дофига, уже замаялся их блокировать. Выше ж написал, что делал, блокировал вручную с помощью проверки гео. Т. к. трафик на главную, то заблокировал в nginx https, позже и http, это сняло всю нагрузку с apache.

[Анатолий]

Роман Кистин, был бы nginx, гео можно было бы этим
https://github.com/leev/ngx_http_geoip2_module
закрыть, а на апаче даже не знаю

По блокированию через iptables
# Отбираем все соединения с флагом syn
iptables -I INPUT 1 -p tcp --syn -j syn_flood

# Цепочка для всех соединения с флагом syn
iptables -N syn_flood

# Блокирует более 30 запросов в секунду c одного ip-адреса, после блокировки, разблокировка будет через 2 мин, при условии, что запросы прекратятся на 30 секунд
iptables -I syn_flood 1 -p tcp -m multiport --dport 80,443,7890 --syn -m hashlimit --hashlimit-above 3/second --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-srcmask 32 --hashlimit-name REQUESTS --hashlimit-htable-expire 120000 -j DROP
# Если менее 500 запросов/сек и burst не израсходован, то идет возврат в основную цепочку, иначе drop
iptables -I syn_flood 2 -m limit --limit 500/s --limit-burst 2000 -j RETURN
iptables -I syn_flood 3 -j DROP

PS. это просто для информации (как у меня), т.е. бездумно не надо применять

[Иван Иванов]

Анатолий, Стоит nginx, за ним apache. Сейчас ковыряю nginx-module-geoip. ngx_http_geoip2_module - есть какие-то отличия? p. s. спасибо за ответ ;-)

[Анатолий]

Не подскажу, не было задачи, и опыта нет.

Answer 3

[tostpypy]

Привет, я делал в свое время защиту через nginx + Lua модуль, но это более сложный вариант реализации модуля testcookie без постоянного включения (только при атаке) и с эвристическими проверками.
Кстати, большинство ДДоС защитников за большие деньги примерно тоже самое и делают собственно.
Также посоветую использовать ipset для более скоростной блокировки ботов через одно правило.