cloudflare в режиме I’m under attack тоже не помогает?

Использовать посредника. Типа CDN.

да, не помогает

не помогает (Cloudflare)

Смотрите ip и баньте подсети. Если основная ваша аудитория из одной страны, можно забанить остальные страны на время.

Хм, я могу попробовать, но IP много. Нет ли способа это делать в автоматическом режиме?

Ради теста поставил политику по умолчанию DROP в iptables в таблицу INPUT - результата нет. Что iftop, что nload показывают большое колличество входящего трафика.

Очередной гений в треде. Алло, отброшенный пакет УЖЕ дошёл до цели. Он УЖЕ занял пропускную полосу линии связи. Банить он собрался, лол кек. Нет никакого способа противодействия ддосу, кроме как на уровне магистральных линий (операторов связи).

Ясен пень, а ты чего ожидал? Что локальных дроп перекроет поток пакетов?

отброшенный пакет УЖЕ дошёл до цели. Он УЖЕ занял пропускную полосу линии связи. Банить он собрался, лол

а что, совсем-совсем нет смысла локально банить ддосящие IP?
эти ддос-пакеты могут вызвать «тяжёлые» запросы к БД
конечно, для пользователя лучше от этого не станет (сайт так и останется недоступным), но можно ресурсы поэкономить

А как посоветуешь бороться со сложившейся проблемой?

Есть VPS-сервер.

Если есть VPS, то есть и его хозяин. Если хозяин всем хозяевам хозяин, то бывает заботится и о пейзанах типа так https://www.hetzner.com/unternehmen/ddos-schutz Попробуйте обратиться в вышестоящую инстанцию, а не в спортлото Cloudflar-ское

Ну если пришедший запрос грузит субд, например, то вполне имеет.

ребят, если не для конкретно этой ситуации, а в общем плане, какова тактика противодействия DDoS-атаке?

что, совсем-совсем нет смысла локально банить ддосящие IP?

Безсловно смысл есть, если эти запросы запрашивают что-то такое, что после запроса начинает неипически раскручивать шпиндель SSD и/или кого-то куда-то перенаправляет. И логи чище будут, не придётся вызывать специалиста по реалтайм-мониторингу сыпящихся в лог строчек (читал тут на днях про одного такого мега-человека-паука-реалтайм-анализатора-логов в соседнем топике)

какова тактика противодействия DDoS-атаке

Не стесняйтесь, обращайтесь, предварительно обратив внимание на обращённые к вам предыдущие посты, тексты и каменты.

Есть два направления действия: 1) увеличивать мощность сервера, 2) ужесточать правила фильтрации.

Внимательно посмотри как ручки и рычажки дает cloudflare, возможно есть какие-то опции, которые ты еще не задействовал? Пообщайся с их техподдержкой, они должны подсказать тебе доступные опции.

Переезжай на сервер пожырнее с аплинком потолще. Закидать дудос железом полноценно не выйдет, но все-таки на железке прожевать получится больше, чем на впске - впску тебе хостер пильнёт скоро за нагрузку, мне думается. Если будет перенос-переезд - следи за тем, чтобы атакующий не узнал непосредственные адреса сервера, а только адреса фронта cloudflare, чтобы не дудосил тебе сервер мимо фильтра.

раскручивать шпиндель SSD

Откуда в SSD шпиндель?

На размышления даю 30 секунд

Голову в песок прятать

А посоветовать вопрошающему обратиться в qrator или в ddos-guard религия не позволяет ?

Откуда в SSD шпиндель?

Я аж хрюкнул от (само)удовлетворения. Не ожидал такого быстрого начала переписи сами-знаете-кого.

обратиться в qrator или в ddos-guard

Вы сами это пробовали делать (обращаться) либо туда либо туда либо и туда и туда ? Поделитесь опытом, а не названиями, тогда будет понятно, шо цэ такоэ и функционирует или не так чтобы так

Голову в песок прятать

Припрятано !

Ну и какой после этого толк от вашего клодфлейра? А так да, айпишники бань подсетями. Когда кончится, почекай, что за айпишники - если какой-то впн, можешь пожаловаться их провайдеру,за такое банят по идее (мелочь конечно,но все ж)

какова тактика противодействия DDoS-атаке?

От типа атаки зависит. Могут грузить канал трафиком, могут грузить сервисы запросами. В первом случае только на abuse@ писать операторам, но там ещё src ip могут подделывать, это надо учитывать. Свой оператор только заблокировать по твоему IP сможет скорее всего, то есть снаружи всё равно проблемы останутся. Во втором случае iptables свой же спасёт скорее всего, особенно с drop (посредством fail2ban например). Про abuse и во втором случае забывать не стоит.

Увеличить количество серверов 😀 арендовать у aws, google cloud, microsoft azure

Тут тупо гонка ресурсов. У кого ресурсов больше - тот и выиграл. 85% ддос траффика - Китай и всякие Индии с исламабадом

11 февраля 2014 Cloudflare выдержала самую крупную DDoS атаку мощностью 400 Гбит/с

Че-то ты не удосужился попробовать их платные планы и всё такое. Явно за денежку они тебя спасут

80 Мегабит/с

Щас у нас в городе у каждого второго школьника 250 Мбит/сек, кому то ты дорогу перешёл не серьёзному. Может, это посетители?

Что делать?

Канал VDS уже забит. Никакой программный firewall и правила к нему не помогут. Это проблема уровнем выше, чем арендованная тобой виртуалка. Хостинги VDS обычно предлагают платную защиту (а иногда не имеют и этого).

Тебе нужно менять хостинг VDS. Нужно брать хоть с какой-то защитой от DDoS на 3-4 уровнях модели OSI (тут могу посоветовать взять VDS-сервер из линейки «Защищенный от DDOS SSD VPS-KVM» у хостинг-провайдера Argotel, либо у OVH, если не обязательно, чтобы VDS была с локацией в России) и с пропускной способностью канала повыше (хотя бы гигабит). А дополнительно к этому уже настраивать фильтрацию на 7 уровне модели OSI (патчить Nginx, собирать его с различными модулями для фильтрации и настраивать грамотно). Также можно воспользоваться уже пропатченными сборками Nginx на фильтрацию L7 (например — vDDoS Protection для CentOS 7).

Это не спасет тебя от хорошей DDoS-атаки с помощью ботнетов или выделенного сервера с хорошей пропускной способностью канала, но обычные DoS-атаки (пример — 1 ПК школьника или 1 виртуальный сервер) или простейшие DDoS-атаки (пример — небольшой ботнет, несколько виртуальных серверов, большинство стрессеров) хорошо отсеит.

-=:=-

Это конечно не спасет ситуацию но..
Если ты прикрыл жопу клаудфлаером, то далее разрешай на своем сервачке входящие на 53/80/443 (или вообще на всё, только себя не забудь в -J ACCEPT поставить) только от ip клаудовых серваков
https://www.cloudflare.com/ips/
Ну и да...если тебя уже чпонькают, то тут фсё - полномочия твои прескорбны...
Также возможно тебе стоит резко переехать на другой ip (не засветив его для внешних ушлепков), чекнуть что клаудфлаер понял это..и нигде не светить сей ip. Пущай чпонькают клауд.

А разве cloudflare может помочь, если umatrix блочит cloudflare и сайт типо запросы получает?

спасибо

Я тоже слегка прифигел. Ты ещё голову и блины в SSD найди.

Ты ещё голову

Угу. У меня все SSD такие, как только они предчувствуют (заранее, заметь) ддос, то они перенапрягаются, раскручивают шпиндели и, возможно от этого, начинают фонить, а на всех подключенных для контроля полосы пропускания осциллографах сразу стрелки дёргаться начинают в такт с частотой ~50 Гц. Что делать пока не понял. Разбираюсь.

у меня на хостинге apache php modsecurity и fai2ban . пока особо не ддосят.

пока особо не ддосят.

keyword «пока»

если сейчас посмотреть через утилиты iftop и nload, то на сервер идут запросы с кучи IP скоростью почти до 80 Мегабит/с.

У тебя сайт лежит из-за нехватки ресурсов, а не канал из-за dos.

Для начала:

С патчами grsecurity в ядре Linux есть опция https://en.m.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#TCP/UDP_blackhole_and_LAST_ACK_DoS_prevention

CONFIG_GRKERNSEC_BLACKHOLE=y

У ядрах *BSD тоже есть опция защиты от dos.

Сетевым экраном дропать все пакеты с IP зараженных вирями.

Черный список брать с https://urlhaus.abuse.ch/api/ и других мест.

snort/suricata ресурсозатратно. Напиши простой скрипт для скачивания черных списков, получения списка IP для бана и обновления ipset списка в сетевом экране. Поставь это правило в сетевом экране первым. Скрипт добавь в cron.

Оптимизирует сам сайт. Может сайт кривописный и ложится при 10 запросах. Сайт должен быть легкий, базы летать.

ребят, а в использовании Cloudflare (с целью скрыть адрес сервера) есть недостатки?

Cloudflare здесь выступает в качестве просто ещё одного DNS-сервера с установленной защитой, или это что-то другое?

Cloudflare будет контролировать твой трафик.

Хорошо настроенный кластер с 3 серваков выдержит ддос ~500Mbit/s. За такой ддос с тобой расторгнут договор почти все провы и хостеры в мире! Ддосы в сотни мегабит надо отбивать вышестоящими провайдерами.

Если будешь менять хостера, то вот эти hoster.ru защиту от DDoS 7 уровня могут дать, но это дорого

вот например на linux.org.ru защита от QRATOR https://qrator.net/ru/ стоит.

а вот что пишут в документации webhost1 https://webhost1.ru/help/generic/http-antiddos