Анти-DDoS для выделенных серверов и VPS

Атаки DDos стали довольно серьезной угрозой для компьютерных сетей.Анти-DDoS для выделенных серверов и VPS

Анти-DDoS для VPS

Введение

В случае если ваш веб-ресурс не загружается из-за сильной перегрузки трафиком, вероятно, вы стали жертвой атаки с отказами на обслуживание. Атаки DDoS стали настоящим кошмаром для организаций с активным присутствием в Сети. От Twitter до BBC и портала Дональда Трампа в 2016 году, все они были подвержены беспрецедентным атакам в истории Сети.

В быстро меняющемся мире гаджетов и стремительной популярности интернета, атаки DDoS увеличились более чем в два раза за последние три года и, как считается, в последнее время становятся все более и более частыми явлениями.

DDoS может легко остановить ваш бизнес, заставить его отключиться спустя пару минут. То есть, ни один пользователь не в силах получить доступ к атакованному веб-порталу.

Это связано с тем, что подобные атаки перегружают пропускную способность и ресурсы сервера, в итоге пользователи не в силах получить доступ к нужным онлайн-приложениям.

В основном, он в себя включает применение ряда внешних систем для наведения системы на разные запросы для подавления системы обычным сетевым трафиком. Эти атаки достаточно эффективны, поскольку незащищенной системе сложно различать подлинный трафик от трафика DDoS.

Необходимо понимать о рисках от атак DDoS, перед тем как вкладывать средства в Anti-DDoS.

Для того, чтобы лучше понять атаки DDoS, в данном материале представлен небольшой обзор существующих кибератак и ключевых технологий надежной защиты от них. Мы здесь обсудим также действенные решения для защиты сервера от будущих атак DDoS.

В первую очередь, если вы используете VPS, либо облачный хостинг, то это вам поможет понять, какое ПО с открытым кодом вы можете применять для предотвращения таких атак.

DDoS deflate

Это весьма легкий скрипт оболочки с полностью открытым кодом, который можно без проблем реализовать на сервере, а также настроить для смягчения подавляющего большинства DDoS-атак.

Особенности DDoS Deflate:

  • Он способен в автоматическом режиме определять разные правила в iptables, либо в расширенной политики выбранного брэндмауэра.
  • Возможность на время блокировать IP-адреса (по умолчанию — полчаса).
  • Опции Черный список и Белый список для блокировки, либо подключения к серверу.
  • Опции для извещения админа о предпринятых действиях.

Fail2ban

Fail2ban работает как и DDoS deflate, так как тоже запрещает трафик на базе профилирования вредоносных адресов IP.

Главные функции:

  • Удивительная простота настройки с опциями автоматизации.
  • Полная совместимость с брандмауэрами.
  • Настраиваемые опции Черный список, Белый список.
  • Возможность автоматической блокировки атаки с применением «грубой силы».
  • Блокирование адресов IP по времени.

Анти-DDoS для выделенных серверов и VPS

Модуль mod_evasive Apache

Этот модуль используется для надежной защиты веб-серверов Apache от атак. Он в себя включает также функции извещения по syslog и электронной почте.

Модуль имеет большое преимущество для полноценной адаптации к разным ситуациям в режиме онлайн, создавая различные правила на лету на базе таких шаблонов:

  • Запрашивает полноценный доступ к одной страничке много раз в секунду.
  • Создает пятьдесят одновременных подключений в секунду к одному дочернему процессу.
  • Выполнение разных запросов из черного списка адресов IP.

Некоторые из опций, которые доступны для предотвращения атаки DDoS выглядят так:

  • Админ сервера может легко ограничить доступ к конкретным страничкам в зависимости от числа запросов, которые может сделать один IP-адрес (функция DOSPageCount).
  • Доступ к всему веб-ресурсу может быть легко ограничен в зависимости от общего количества соединений, которое использует один IP-адрес, применяя функцию DOSSiteCount.
  • Опция DOSHashTable способна отслеживать, кто запрашивает полноценный доступ веб-серверу и на базе их предыдущих посещений способна решить, заблокировать или разрешить подключение.
  • Админ может получать извещения по электронной почте, какое действие осуществляет Apache mod_evasive.

Mod_evasive довольно прост и удобен в использовании, и поскольку модули с открытым кодом встроены в Apache, то его можно использовать совершенно бесплатно.

HaProxy

HaProxy — это прекрасное средство для балансировки нагрузки с полностью открытым кодом, который эффективен также при атаках DDoS на облачный сервер.

Он имеет такие опции:

  • Способен блокировать трафик на базе пропускной способности.
  • Содержит белые и черные списки в таблице адресов IP, которые строит на основе специальных набора правил.
  • Возможность легко блокировать адреса IP, которые могут выполнять атаки DDoS.
  • HaProxy способен идентифицировать ботов, потому он эффективен против атак DDoS.
  • Может предотвращать атаки вроде Syn Flood, а также имеет такие важные возможности, как ограничение соединения.

Есть очень действенное решение для Anti-Ddos — DDoS Protected VPS, включающее в себя VPS со специальным смягчением DDoS. Это еще называется «Anti-DDOS VPS». Это указывает на то, что оно находится на сервере, либо группе серверов, защищенных от атак DDoS.

Для этого необходим хороший канал передачи информации. Кроме того, требуются очень надежные и аппаратные брандмауэры, способные остановить DDoS-атаку  до того как она найдет в защите брешь.

DDoS Protected VPS Украина должен быть в силах выдержать такие атаки DDoS, как:

  • Объемные DDoS-атаки (то есть поддельный поток трафика).
  • Атаки на базе протокола (вредоносный трафик, который влияет на метод передачи информации).
  • Атаки на определенном сервере, либо пользовательских приложениях (к примеру, WordPress).

Подавляющее большинство современных дешевых хостеров вообще не включает специальную защиту от данных атак. Ведь это приводит к гораздо более высоким затратам.

Разновидности атак DDoS, которые могут быть легко остановлены при DDoS VPS:

  • ICMP (Ping) Flood.
  • UDP Flood.
  • SYN Flood.
  • Ping of Death.
  • HTTP Flood.

Анти-DDoS для выделенных серверов и VPS

Защита в транзитных сетях и VPS

Средства защиты от описываемых атак, развернутые в промежуточной сети, обеспечивают полноценную инфраструктурную защиту большинству интернет-хостов. Как правило, они запрашивают маршрутизаторы для параллельного мониторинга, а также обмена определенными данными.

Распределение перегрузки

Были предложены разные варианты для клиента защиты от атак DDoS в TCP, SYN-файле cookie, протоколах для проверки подлинности, управлении трафиком приложений и графическом тесте Turing.

Вкратце, если клиент запрашивает услугу, то сервер вначале просит клиента решить важную проблему до принятия запроса на обслуживание. После этого клиенту надо отправить ответ назад на сервер.

Для решения проблемы обычно требуется конкретный объем вычислительных ресурсов, а нужда в ресурсах для проверки ответа несущественна. Сервер станет отклонять запросы на услуги, когда клиент не отвечает, либо ответ неправильный. Более простой и понятный пример — всем известная капча.

Pushback: Буксировка

Предлагаемый способ управления перегрузками на базе агрегатов (ACC), управляющий потоками пакетов с достаточно высокой детализацией. ACC предоставляет систему для обнаружения, управления агрегатами на маршрутизаторе с применением сигнатур атак, а также механизма под названием pushback, для большего распространения агрегированных запросов управления на маршрутизаторы выше по потоку. Системы ACC включаются, если маршрутизатор испытывает достаточно устойчивую перегрузку.

Маршрутизатор вначале пытается идентифицировать агрегаты, которые ответственны за перегрузку. После этого он запрашивает у соседних маршрутизаторов скорость. Так как соседи, которые отправляют больше трафика в общем, более склонны переносить трафик атаки, то данный запрос получают только соседи, которые отправляют существенную часть суммарного трафика. Принимающие маршрутизаторы способны рекурсивно распространять pushback дальше вверх по потоку.

Анти-DDoS для выделенных серверов и VPS

IP Traceback

Пакеты, которые переадресованы маршрутизаторами, могут содержать данные, помогающие жертвам восстановить весь путь атаки.

Маршрутизаторы способны добавлять дополнительную информацию в качестве заголовка, либо вспомогательной полезной нагрузки к пакетам, дабы пограничный маршрутизатор жертвы был в силах определить все маршруты, близкие к атакующим источникам, а также попросить данных маршрутизаторов фильтровать число запросов. Маршрутизаторы могут также вставлять данные в заголовки IP, дабы помочь жертвам отслеживать источники атаки.

Заключение

Рекомендации по защите от атак DDoS:

  • Предварительное создание специального плана действий.
  • Мониторинг всех уровней трафика.
  • Обратите внимание на все подключенные устройства.
  • Обеспечение дополнительной пропускной способности.
  • Настройте клиенты по безопасности.
  • Блокировка поддельных адресов IP.
  • Частая установка исправлений, обновлений.
  • Агрессивный контроль полуоткрытых соединений.
  • Настройка файлов RST cookie.
  • Фильтр udp-трафика со всех удаленных черных дыр.
  • Запланируйте на сервере стресс-тест.

Я советую также установить nShield — простое и правильное решение Anti-DDoS для VPS, устройств IoT на базе iptables и выделенных серверов.

Блокировка от сканирования Smurf, ICMP Attack, Xmass и Syn Floods. Общие требования:

  • Linux-система с Python, iptables.
  • Nginx (будет автоматически установлен посредством install.sh).

Стоит отметить, что данный скрипт заменит ваши iptables правила и установит nginx.


Оставить комментарий



Хостинг с отличным саппортом — HOSTiQ