Cloudflare не справляется с ddos атакой, какие варианты?

Question

[Shing]

Процессор 100% забивается, хотя заблокировал в Cloudflare целые страны, вроде мало что должно просачиваться.
IP скрыл, пока вроде не утек, 100% забит процессор именно когда траф с CF идет на сервер.
Но идти вроде не должен....

netstat -na | grep :443| wc -l
1000-1500

netstat -n -t | grep SYN_RECV | wc -l
0

Answer 1

[АртемЪ]

Cloudflare не справляется с ddos атакой, какие варианты?

Ну главная задача сloudflare и подобных сервисов - не дать злоумышленникам положить канал до вас.

Если канал работает, пакеты идут - значит прекрасно справляется.
А то что процессор загружен на 100% это уж не к сloudflare, а к вашему админу.
Почему определенный вид трафика кладет систему, почему этот трафик не фильтуете.

Comments

[Shing]

Ну так, а от чего процессор загружен?
Пропускает значит много.

Сейчас вот на Under Attack mode держит вроде, все "нормально", но там 5 сек страница ожидания перед заходом, это плохо. А кому-то наверно капчу вообще предлагает... Теряется всякий смысл, те же потери трафика.

Стоит только under attack отключить и сервер вешается сразу.

[АртемЪ]

Shing,

Ну так, а от чего процессор загружен?
Пропускает значит много.

Ну как бы в этом и есть его задача основная - пропускать как можно больше.

Если без него- канал будет забит, и к вам пакеты перестанут доходить - а с ним все доходят.
Ваша же задача отделить пакеты нормальных пользователей и оказать им услугу, и уничтожить левые пакеты.

Для этого настраивают фаервол, анализируют трафик, ставят более мощные сервера которые справятся с возросшей нагрузкой.