Как маленькому веб-проекту спасаться от DDoS?

Question

[xxx44yyy]

У клиента небольшой сайт, работающий с nginx и Amazon Route 53 как DNS. Его частенько задалбливают присылая уйму запросов, с которыми не справляется сервер. Раньше, когда он сидел на Cloudflare - он мог нажать одну кнопку (under attack) и всё решалось мгновенно: появлялась страница с капчей перед каждым запросом и всё было хорошо. Затем он перешёл на Route 53, где этой функции нет. Как теперь защищаться? WAF на Amazon стоит около 3000$ в месяц. Может есть что-то простое и недорогое, которое не защитит от настоящего мощного DDoS, но защитит от небольших?

Comments

[ntloff]

поставить CloudFlare

Answer 1

[Иван Шумов]

На aws waf и shield встроены в CloudFront. 3000 usd стоит если нужна выделенная команда со стороны AWS для более качественного реагирования. Также в CloudFront есть свой geo policy и роуты что вроде как дешевле и лучше чем route53 поскольку не требует изменения записей dns и избегает из кэширования.

Ну и да, waf не связан с ddos, это зона ответственности shield

Comments

[xxx44yyy]

А CloudFront-то причём? Это совсем другой продукт.

[xxx44yyy]

Измнений DNS кстати не требовалось вроде.

[Иван Шумов]

xxx44yyy, кто-то не знает как работает dns и как интернет в целом, а также cdn. Я решение дал, а то что квалификации недостаточно - советую изучить более детально указанные темы

[xxx44yyy]

Иван Шумов, вас попросили пояснить, вы включили вахтёра. Отличное решение.

[Иван Шумов]

xxx44yyy, не очень хочется тратить несколько часов своего времени чтобы рассказать детали работы 3х протоколов и 4х сервисов когда есть куча документации

[xxx44yyy]

Иван Шумов, facepalm

[xxx44yyy]

Кстати, да, в DNS прописаны адреса серверов.

[xxx44yyy]

Про дешевле - там около 10к пользователей в сутки, на весь Route 53 уходит меньше 5$ в месяц

[Иван Шумов]

xxx44yyy, dns так работает, а ещё он кэшируется на клиенте и ничего вы с этим не сделаете. Никогда

[Иван Шумов]

xxx44yyy, это пока что 5$)

[xxx44yyy]

dns так работает, а ещё он кэшируется на клиенте и ничего вы с этим не сделаете. Никогда

и шо делать?!

это пока что 5$)

Имеете ввиду, пока 10к пользователей, а не 100к? Или что Amazon может поднять цены в 10005000 раз?

[Иван Шумов]

xxx44yyy,

и шо делать?!

ставить минимальное время кэширования, что приведет к 3м эффектам:

• часть людей все-равно будет иметь проблему при смене пула ip адресов
  
• те кто закэшируют dns при перелете/подключении vpn/proxy получать боль с latency
  
• в разы увеличится счет за Route53 по тому что он биллается по запросам как и большинство сервисов
  

Имеете ввиду, пока 10к пользователей, а не 100к? Или что Amazon может поднять цены в 10005000 раз?

смотреть предыдущую часть ответа

[xxx44yyy]

в разы увеличится счет за Route53 по тому что он биллается по запросам как и большинство сервисов

смотреть предыдущую часть ответа

Так если не уходить с 53, то ничего и не увеличится, ведь так?

[Иван Шумов]

xxx44yyy, именно если не уходить и начать его "ускорять" то увеличится. Пример: кэш dns вашего времени (например 24 часа, но я не знаю точно сколько у вас) - стоимость 5$. Хотим сделать более частый сброс кэша, например в 2 раза чаще (12 часов для примера) и получаем 10$ и так далее.

С CloudFront или CloudFlare dns конфигурируется один раз для вашей задачи, а остальное выполняет сам CDN.. То есть записи у вас не будет меняться, а ресурсы за CDN можно поменять хоть сотню раз в секунду

[xxx44yyy]

Иван Шумов, Да, про Cloudflare понимаю, но я к тому, что если всё оставить как есть, то и проблемы нет. Ну кроме исходной, описанной в теме.

В противном же случае - кажется понимаю, нужно перейти на Cloudlfront, а перед этим указать в DNS очень маленький TTL

[xxx44yyy]

Cloudfront, а не Cloudflare

[Иван Шумов]

xxx44yyy, ну если не решать проблему то можно и вопросов не задавать

[Иван Шумов]

xxx44yyy, для переезда dns всегда нормальная практика в короткой смене dns, но потом можно ставить большие лимиты. Хоть в месяц

[xxx44yyy]

Иван Шумов, Я недостаточно знаком с Cloudfront, но пользуясь случаем спрошу (не понимаю, пазл не складывается).

Правильно ли понимаю, то Cloudfront - это инструмент сугубо для кеширования? Т.е. если сайт условно-интернет магазина или какого-то сервиса, где есть "динамика" (PUT, POST, DELETE..), то смысла уже в нём нет. А если например страницы, где нет этого всего, например статья блога, какая-то галерея, т.е. где контент просто отдаётся в статике и может быть закеширован - то это к Cloudfront. Так?

[Иван Шумов]

xxx44yyy, нет. Это одна маленькая часть. Кэширование в CDN придумали после того как появились первые инструменты. Основная цель - роуминг трафика по BGP - максимально короткому пути доставки с наивысшей скоростью. Современные CDN обладают десятками разных фичей и надо читать у каждого отдельно

[xxx44yyy]

Иван Шумов, Ок, спасибо

Answer 2

[Сергей Горностаев]

ДДос атака на nginx пакетами 1 байт?

Comments

[xxx44yyy]

О, спасибо! А нет сервиса для подобного? Чтобы через gui конфигить такие вещи.

[Сергей Горностаев]

xxx44yyy, не знаю, мне никогда не требовался гуй для таких простых вещей.

Answer 3

[Vitaly Karasik]

Единственный бюджетный вариант AFAIK - вернуться на Cloudflare. Да, на дешевых тарифах это требует держать DNS у них. А почему нет?
С бизнес планом ($200) Cloudflare разрешает использовать чужие DNS.

Comments

[xxx44yyy]

Увы, но нельзя. Route 53 пользволяет в бесплатном варианте пользоваться geolocation, т.е. раскидывать по регионам пользователей. Прям в панели указываешь регион и отправляешь пользователя на сервак в его регионе. В Cloudlflare тоже была такая возможность, но стоила дорого.

[Vitaly Karasik]

Мне кажется можно извернуться и использовать несколько endpoints Cloudflare, а перед ними - GeoDNS.

Answer 4

[xmoonlight]

Через подпись трафика (после валидации "чистоты" клиента) между разными площадками (не менее 2-х) это делается.
Неподписанный - сразу же игнорируется другой ещё до создания соединения.
Все коннекты - проверяются на валидную подпись.

Comments

[xmoonlight]

Falconer, плохо искали и на русском - вряд ли найдёте.

[xmoonlight]

Falconer, Формат конфига tcp знаете?

[xmoonlight]

Falconer, я ж в ответе всё написал уже...

[Александр]

xmoonlight, можно пример реализации или ссылку на какую-нибудь статью с описанием такой защиты?

[xmoonlight]

Александр, нет, т.к. это сочтут за рекламу.

[xxx44yyy]

xmoonlight, не сочтут, кидайте, интересно же. ну или как нагуглить

[Александр]

xmoonlight, не сочтут. Вы же отправите ссылку не просто так, а в рамках своего ответа, так что это не будет рекламой

[xmoonlight]

xxx44yyy, Александр, советую обратиться за разъяснениями через обратную связь.

[xxx44yyy]

xmoonlight, что такое подписывание трафика?

[xmoonlight]

xxx44yyy, тоже самое, что и подпись запросов к REST-API, но только для пакетов.

[xxx44yyy]

xmoonlight, термин у этого есть?

[xmoonlight]

xxx44yyy, нет. Это метод.

[xxx44yyy]

xmoonlight, ок

Answer 5

[Евгений]

Трафик у вас nginx принимает - настройте rate limiting . Для этого все равно надо будет провести анализ - какие лимиты на какие урлы для вас ок.
Кроме этого можно настроить рейт лимитинг для одного src ip. nginx так-то штука мощная в плане возможностей и настроек защиты.

Если вам не хочется разбираться с nginx - подключите сайт в cloudfront, в него встроены необходимые сервисы защиты, как и написал Иван Шумов . Впрочем, их тоже надо понять как правильно настроить.

Answer 6

[Камил]

Как вариант, вам подойдет самый низкий тариф https://gshost.net/

Comments

[shurshur]

Что делает тут реклама хостинга?

[Сергей Горностаев]

Чем подойдёт?

[Камил]

Сергей Горностаев, тем что 17$ в месяц, вместо 3000$

[Камил]

shurshur, это не реклама, а рекомендация, удалите если это нарушает правила текущего сайта

[shurshur]

Камил, топикстартер ясно дал понять, что ему совсем не интересен дешёвый ноунеймовый хостер фиг знает где, который на словах умеет в защиту от DDoS.

Answer 7

[boss_lexa]

https://ddos-guard.net/ru/store/web