LINUX.ORG.RU

Способы отражения DDoS атак

 , , ,


1

3

Несколько дней назад меня попросили посмотреть сервер (просто VPSку), который стал тормозить. Я зашел туда и увидел, что он не обновлялся более 1 года и что в dmesg куча записей о SYN flood. Вывод команды «iptables -L» пришлось принудительно прервать так как она содержала кучу записей о блокированных fail2ban IP адресах.
Что я сделал для реанимации этого сервера:
1. Сделал полный бэкап как баз данных, так и скриптов.
2. Сделал полное обновление системы.
3. С помощью iptables заблокировал все порты, кроме некоторых нужных.
Прошло уже несколько часов. Периодически туда захожу и проверяю, пока полет нормальный. Есть ли еще какие-нибудь действия, которые нужно предпринять для отражения атаки?
Дело еще в том, что SYN атаки предпринимались еще и на 21 порт, который является FTP. Мне пришлось его открыть, поскольку на сервере стоит proftpd. Как с этим быть?

★★★★★

Хостинг у VDS какой? Могут тупо канал забивать, тогда уже никак.

Это частично можно отбить sysctl и шаманством над модулями ядра.

spbset
()
Ответ на: комментарий от Rinaldus

Да. Хостинг сам по себе дороговат и защиты канала от DDoS не предоставляет.

Будет сложнее. Самый простой и полезный вариант - https://beget.com/ru/articles/syncookied

Выполнить настройку защиты по этому ману.

А вообще, если есть возможность переезда, то лучше выбрать защищенный хостинг. Например - ipserver.su, aofy.pro, just-hosting.ru и т.д.

spbset
()
Ответ на: комментарий от spbset

Спасибо, обязательно почитаю эту статью.
А как насчет обслуживания DNS от Cloud Flare? Я слышал, что они предоставляют защиту от DDoS атак. Насколько это эффективно?

Rinaldus ★★★★★
() автор топика
Ответ на: комментарий от Rinaldus

Да. CloudFlare предоставляют бесплатную и платную защиту, но только для вебсайтов (80, 8080, 8888 и др. веб порты).
Т.е. происходит проксирование. Домен делегируется на CloudFlare, откуда устанавливаются настройки «скрывать реальный IP» за IP CloudFlare.
При этом другие сервисы так и останутся без защиты, разве что если Вы только сайт размешаете для публичного доступа.

Если у вас есть серверы на других порта для доступа публичного извне, то защиты для них не будет.

spbset
()
Ответ на: комментарий от Rinaldus

Неплохо (даже на бесплатном тарифе). Но если известен IP-адрес (а он известен), то атаки могут продолжиться по нему. Так что если использовать, то только сочетать со сменой IP-адреса VDS, это уже к поддержке хостинга. И ещё не забыть о том, что почту и соответственно MX-записи всех доменов придётся уносить куда-то в другое место (Cloudflare не проксирует почту -> выдаёт реальный адрес, если MX'ы указывают на тот же сервер). Почту можно использовать бесплатную PDD от Yandex'a, например.
Насчёт syncookie плюсую.
Остальные сервисы можно ограничить по IP клиентов этих сервисов, если они статичные, конечно.

Nirvandil
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.