Cloudflare не справляется с ddos атакой, какие варианты?

Процессор 100% забивается, хотя заблокировал в Cloudflare целые страны, вроде мало что должно просачиваться.
IP скрыл, пока вроде не утек, 100% забит процессор именно когда траф с CF идет на сервер.
Но идти вроде не должен....

netstat -na | grep :443| wc -l
1000-1500

netstat -n -t | grep SYN_RECV | wc -l
0
  • Вопрос задан
  • 599 просмотров
Решения вопроса 1
pro100chel
@pro100chel
Python && PHP Developer
1. Under Attack Mode или captcha (помогает в некоторых случаях)
2. Rate Limiter + banip (пробрасываешь ip юзеров через cloudflare и банишь через api cloudflare) (можно сделать при помощи самописов на питоне или же на чем угодно или же при помощи модуля fail2ban и его дополнения для cloudflare)

Далее нужно понять что именно грузит сервак. Скорее всего это даже не nginx, а бекэнд (php или что там у тебя).

Советую использовать php8.0-fpm и nginx. Также нужно оптимизировать. Как минимум отрубить gzip на nginx. (это создает нагрузку на проц). PHP 8.0 выдает ощутимый прирост производительности.

Если безопасность особо не важна - отключай ssl на своем сервере и возложи задачу терминирования ssl на cloudflare (сделать Flexible режим ssl во вкладке SSL\TLS cloudflare)

===========
Больше ничего сказать не могу, т.к. нет конкретики от тебя. Нужно глянуть как минимум что грузит проц. Проблемы могут быть разные (тяжелый и неоптимизированный код, старые версии ПО и прочее)
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
Jump
@Jump
Системный администратор со стажем.
Cloudflare не справляется с ddos атакой, какие варианты?
Ну главная задача сloudflare и подобных сервисов - не дать злоумышленникам положить канал до вас.

Если канал работает, пакеты идут - значит прекрасно справляется.
А то что процессор загружен на 100% это уж не к сloudflare, а к вашему админу.
Почему определенный вид трафика кладет систему, почему этот трафик не фильтуете.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
от 200 000 до 350 000 ₽
DDoS-GUARD Ростов-на-Дону
от 70 000 до 120 000 ₽
от 200 000 до 300 000 ₽