Как маленькому веб-проекту спасаться от DDoS?

У клиента небольшой сайт, работающий с nginx и Amazon Route 53 как DNS. Его частенько задалбливают присылая уйму запросов, с которыми не справляется сервер. Раньше, когда он сидел на Cloudflare - он мог нажать одну кнопку (under attack) и всё решалось мгновенно: появлялась страница с капчей перед каждым запросом и всё было хорошо. Затем он перешёл на Route 53, где этой функции нет. Как теперь защищаться? WAF на Amazon стоит около 3000$ в месяц. Может есть что-то простое и недорогое, которое не защитит от настоящего мощного DDoS, но защитит от небольших?
  • Вопрос задан
  • 886 просмотров
Пригласить эксперта
Ответы на вопрос 8
inoise
@inoise
Solution Architect, AWS Certified, Serverless
На aws waf и shield встроены в CloudFront. 3000 usd стоит если нужна выделенная команда со стороны AWS для более качественного реагирования. Также в CloudFront есть свой geo policy и роуты что вроде как дешевле и лучше чем route53 поскольку не требует изменения записей dns и избегает из кэширования.

Ну и да, waf не связан с ddos, это зона ответственности shield
Ответ написан
dyuriev
@dyuriev
A posteriori
Анализировать запросы и придумывать как их исключать/блочить
Ответ написан
@vitaly_il1
DevOps Consulting
Единственный бюджетный вариант AFAIK - вернуться на Cloudflare. Да, на дешевых тарифах это требует держать DNS у них. А почему нет?
С бизнес планом ($200) Cloudflare разрешает использовать чужие DNS.
Ответ написан
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Через подпись трафика (после валидации "чистоты" клиента) между разными площадками (не менее 2-х) это делается.
Неподписанный - сразу же игнорируется другой ещё до создания соединения.
Все коннекты - проверяются на валидную подпись.
Ответ написан
@yellowmew
Cloud infrastructure, monitoring engineer. SRE
Трафик у вас nginx принимает - настройте rate limiting . Для этого все равно надо будет провести анализ - какие лимиты на какие урлы для вас ок.
Кроме этого можно настроить рейт лимитинг для одного src ip. nginx так-то штука мощная в плане возможностей и настроек защиты.

Если вам не хочется разбираться с nginx - подключите сайт в cloudfront, в него встроены необходимые сервисы защиты, как и написал Иван Шумов . Впрочем, их тоже надо понять как правильно настроить.
Ответ написан
Lakika
@Lakika
Sicario
Как вариант, вам подойдет самый низкий тариф https://gshost.net/
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы