Cloudflare не справляется с ddos атакой, какие варианты?

Процессор 100% забивается, хотя заблокировал в Cloudflare целые страны, вроде мало что должно просачиваться.
IP скрыл, пока вроде не утек, 100% забит процессор именно когда траф с CF идет на сервер.
Но идти вроде не должен....

netstat -na | grep :443| wc -l
1000-1500

netstat -n -t | grep SYN_RECV | wc -l
0
  • Вопрос задан
  • 591 просмотр
Решения вопроса 1
pro100chel
@pro100chel
Python && PHP Developer
1. Under Attack Mode или captcha (помогает в некоторых случаях)
2. Rate Limiter + banip (пробрасываешь ip юзеров через cloudflare и банишь через api cloudflare) (можно сделать при помощи самописов на питоне или же на чем угодно или же при помощи модуля fail2ban и его дополнения для cloudflare)

Далее нужно понять что именно грузит сервак. Скорее всего это даже не nginx, а бекэнд (php или что там у тебя).

Советую использовать php8.0-fpm и nginx. Также нужно оптимизировать. Как минимум отрубить gzip на nginx. (это создает нагрузку на проц). PHP 8.0 выдает ощутимый прирост производительности.

Если безопасность особо не важна - отключай ssl на своем сервере и возложи задачу терминирования ssl на cloudflare (сделать Flexible режим ssl во вкладке SSL\TLS cloudflare)

===========
Больше ничего сказать не могу, т.к. нет конкретики от тебя. Нужно глянуть как минимум что грузит проц. Проблемы могут быть разные (тяжелый и неоптимизированный код, старые версии ПО и прочее)
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
Jump
@Jump
Системный администратор со стажем.
Cloudflare не справляется с ddos атакой, какие варианты?
Ну главная задача сloudflare и подобных сервисов - не дать злоумышленникам положить канал до вас.

Если канал работает, пакеты идут - значит прекрасно справляется.
А то что процессор загружен на 100% это уж не к сloudflare, а к вашему админу.
Почему определенный вид трафика кладет систему, почему этот трафик не фильтуете.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы