Как настроить ddos защиту

База знаний uCoz

В данной инструкции, мы обсудим очень важный момент в работе каждого сайта, а именно инструкцию по настройке защиты от DDoS атак используя сервис DDoS-GUARD.

Что такое DDoS атака ?

Атака типа «отказ в обслуживании» (DoS) – это попытка причинить вред, сделав недоступной целевую систему, например веб-сайт или приложение, для обычных конечных пользователей. Обычно злоумышленники генерируют большое количество пакетов или запросов, которые в конечном счете перегружают работу целевой системы. Для осуществления атаки типа «распределенный отказ в обслуживании» (DDoS) злоумышленник использует множество взломанных или контролируемых источников.

В общем случае DDoS-атаки можно разделить на типы в зависимости от того, на каком уровне модели взаимодействия открытых систем (OSI) происходит атака. Атаки на сетевом уровне (уровень 3), транспортном уровне (уровень 4), уровне представления (уровень 6) и уровне приложений (уровень 7) наиболее распространены.

Зачем настраивать защиту от DDoS атак ?

Представьте ситуацию, вы создали сайт, который набрал за определенное количество времени существования свою аудиторию, в определенный момент у сайта появляются конкуренты, которые имеют средства заказать DDoS на ваш сайт в целях выбить ваш сайт с топ позиций в поиске и занять позиции вашего сайта.

В результате DDoS атаки на ваш сайт, перестает работать не лишь ваш сайт, но и все сайты на сервере конструктора или хостинга на котором ваш сайт расположен.

Когда хостинг / конструктор определяет на ваш сайт DDoS атаку, при необходимости отключают ваш сайт в целях борьбы с DDoS атакой, чтобы лишь из-за одного сайта не перестал работать весь сервер. Это все правильно так как часто именно один сайт становится причиной DDoS атаки на целый сервер на котором расположены сотни (тысячи) сайтов и если вовремя не отреагировать и не отключить сайт который стал причиной атаки, весь сервер перестанет работать.

Как подключить защиту от DDoS используя сервис DDoS-GUARD ?

1. Купить домен второго уровня, рекомендуем покупать с панели управления сайтом. Крайний случай, когда атака уже осуществлена на ваш сайт и он недоступен, тогда можно купить у регистратора Reg.ru: https://www.reg.ru/domain/new/
2. Зарегистрироваться на: https://ddos-guard.net/ru/store/web

Настройка и подключение защиты для домена

Прописать DNS DDoS-GUARD для домена

2.1. Прописать на стороне регистратора для вашего домена site-name.ru DNS ddos-guard:

• ns1.ddos-guard.net
• ns2.ddos-guard.net
• ns3.ddos-guard.net
• ns4.ddos-guard.net
• ns5.ddos-guard.net
• ns6.ddos-guard.net

Выбрать FREE тариф

2.2. Далее перейти на сайт https://ddos-guard.net/ru/store/web выбрать тариф FREE и нажать кнопку «Заказать«.

Добавляем защищаемый домен и целевой айпи

3.1 Далее в поле защищаемый домен прописать домен который вы купили site-name.ru в поле «Целевой айпи» пропишите айпи сервера на котором расположен ваш сайт, и нажмите кнопку «Далее«.

Как узнать айпи сервера на котором сайт расположен?

Айпи можно узнать в панели управления сайтом в вкладке общие или на форуме.

4. Завершите добавление домена, Платить ничего не нужно, так как это бесплатный тариф.

5. После когда завершится настройка и активация услуги по защите домена, вам придет уведомление на почту. Далее нужно перейти в дашбоард https://my.ddos-guard.net/cabinet

Редактируем айпи А-записей для защищаемого домена

6. Далее перейдите в настройки своего домена.

7. После перейти в вкладку «DNS«.

Далее как отмечено на скриншоте, копируем свой защищенный айпи:

8. После для своего домена в этой вкладке:

редактируйте все эти три айпи ( для редактирования напротив айпи жмем иконку ключи ), если там стоит ваш целевой 195.216.243.130 ( в данной ситуации это мой айпи для сервера s30 ).

Нам нужно его удалить и прописать вместо него наш «Защищенный айпи«, который на нашем примере 185.178.208.163 , не забудьте нажать кнопку сохранить по завершению изменения айпи (если в этом есть необходимость ).

Важно! Вам нужно прописать свой защищенный айпи, данный с примера копировать не нужно.

Приведем небольшой пример, как в действительности работает защита от DDoS когда ваш сайт DDoS-сят, смотрим скриншот с графиком и нагрузкой на сервер.

Настройка работы SSL в DDoS-GUARD

11.1 Последний пункт настройки, ниже в блоке «Безопасность» уберите отметку с пункта — Редирект HTTP HTTPS. Если у домена нет приобретенного сертификата (SSL), тогда эта опция должна быть отключена. Важно! Если SSL у домена не куплен, отключать редирект обязательно так как защита не заработает и сайт будет недоступен.

11.2 Чтобы защита корректно заработала, нужно перейти в Панель управления (сайта) — Настройки — Общие настройки, находим пункт: Автоматически перенаправлять с системного поддомена на прикреплённый домен, этот пункт нужно включить. Это нужно, чтобы трафик с системного домена ушел на прикрепленный, на котором настроена защита.

11.3 Когда все эти настройки выполните, вы можете прикрепить к сайту домен который купили используя Способ 3 как описано в инструкции.

11.4 В том случае если на ваш сайт была DDoS атака и сайт вам уже отключили, вы выполнили все эти настройки которые описаны выше, сообщите об этом сотруднику техподдержки через форму: https://www.ucoz.ru/contact

После сотрудник техподдержки прикрепит к вашему сайту домен на который вы настроили защиту и ваш сайт снова будет доступен.

Как подключить защиту от DDoS используя сервис Cloudflare ?

Регистрация в Cloudflare

Первое и самое основное, вы должны зарегистрироваться на сайте Cloudflare https://dash.cloudflare.com/sign-up

Добавление сайта в Cloudflare

После регистрации и авторизации в личном кабинете, жмем кнопку «Add site«.

В поле где нужно ввести адрес сайта, вставляем ссылку на сайт вида site.ru и жмем кнопку «Add site«.

Выбор Free тарифа в Cloudflare

Далее выбираем бесплатный «Free» тариф и жмем кнопку «Confirm plan«.

Настройка записей домена в Cloudflare

После выбора тарифа CloudFlare вам отобразит все записи домена, которые он обнаружил, все эти записи CloudFlare автоматически скопировал на свои сервера. Жмем кнопку Continue.

Изменение текущих NS на сервера Cloudflare

После нажатия кнопки «Continue«, Cloudflare предлагает нам изменить текущие DNS сервера которые у нас прописаны, на свои:

Важно! В нашем примере выше приведены DNS сервера Cloudflare, которые предлагались нам на время написания статьи. Будьте внимательны, так как они регулярно изменяются и вам может потребоваться добавить новые DNS, которые вам будут предложены напрямую на сайте Cloudflare.

вам нужно перейти в панель управления регистратора домена где вы покупали домен для своего сайта и изменить текущие DNS на те которые в примере выше.

После как на стороне регистратора домена изменили текущие DNS:

на DNS Cloudflare:

на странице Cloudflare где вы начали добавление своего сайта, жмем кнопку «Done, check nameservers«.

Важно! В нашем примере выше приведены DNS сервера Cloudflare, которые предлагались нам на время написания статьи. Будьте внимательны, так как они регулярно изменяются и вам может потребоваться добавить новые DNS, которые вам будут предложены напрямую на сайте Cloudflare.

Если вы все правильно выполнили, вы должны увидеть сообщение об успешной проверке DNS записей домена и поздравление, что ваш сайт теперь защищен:

Источник

Методы борьбы с DDoS-атаками

Хотелось бы поговорить с вами на актуальную нынче тему, а именно — про DDoS и методы борьбы с ним. Рядовые администраторы знают, что это такое, а вот для большинства вебмастеров это аббревиатура остается загадкой до того момента пока они на личном опыте не столкнуться с этой неприятностью. Итак, DDoS — это сокращение от Distributed Denial of Service (распределенный отказ в обслуживании), когда тысячи зараженных компьютеров отправляют на сервер множество запросов, с которыми он, в последствии, не может справиться. Целью DDoS атаки является нарушение нормальной работы сервера, а в дальнейшем — «падение» сайта или сервера целиком.

Как же от этого защититься? К сожалению, универсальных мер защиты от DDoS-атак до сих пор не существует. Тут необходим комплексный подход, который будет включать меры аппаратного, программного и даже организационного характера.

Программно-аппаратные системы от сетевого гиганта Cisco являются наиболее эффективными, но за них вам придется порядочно раскошелиться.

Для защиты IIS серверов можно воспользоваться (программным) решением от компании Microsoft, но, зная щедрость этой компании, можно догадаться, что они тоже далеко не бесплатные.

В настоящее время, заказные DDoS-атаки превратились в выгодную и активно развивающуюся нишу сетевой преступности. Поискав в Google, можно найти десятки предложений от «специалистов» по устранению сайта конкурентов.

Какие же основные принципы по защите от DDoS? В первую очередь, не нужно привлекать к себе (своему сайту) лишнее внимание радикально настроенной общественности, публикуя контент, способный задеть расовые, национальные или религиозные чувства каких либо индивидов.

Если же вас «заказали», или вы не послушались предыдущего совета, будьте начеку — аппаратные ресурсы веб-сервера обязательно должны иметь некоторый резерв производительности, а распределенные и дублирующие системы — построены максимально эффективно. Без понимания принципов работы DDoS, эффективную защиту построить просто невозможно. Для осуществления DDoS-атак используется большое количество компьютеров, зараженных вредоносным кодом. Эти компьютеры объединяются в ботнеты (“bot-net” — сети зомби-машин), которые по приказу злоумышленника осуществляют DDoS-атаки, причем владельцы компьютеров зачастую даже не подозревают об этом.

Мы, как хостинг-компания, сталкиваемся с DDoS-атаками на сайты наших клиентов ежедневно и имеем некоторый опыт в борьбе с ними. Как было сказано выше, универсальных мер защиты попросту нет, но атаку все же можно отразить. Предположим, что на некий сайт (пусть это будет domain.ru) идет DDoS атака. По логам видно, что большое количество GET запросов идет на главную страницу. В большинстве таких случаев, ботов можно обмануть воспользовавшись javascript-редиректом. К примеру:

Как результат — с каждым разделом, который атакован GET запросом прямо в корень, размер файла получится всего несколько байт, что гораздо лучше, чем когда бот соприкасается c

50-100кб страницей и при этом подтягивает

5-10 SQL запросов. Легитимные же пользователи, у которых не отключен javascript в браузере, перенаправляются на index.php.

Но есть одно большое НО – поисковые-боты тоже не оборудованы js-интерпретаторами и точно так же, как и атакующие боты, будут утопать в js редиректе. Можно, воспользовавшись такими UNIX утилитами как tcpdump или netstat, написать небольшой скрипт, который будет считать кол-во коннектов с определенного IP адреса, и банить его.

Определить бота можно, например, проверив его host. Небольшой пример элементарного скрипта по блокировке IP, которые создают много коннектов к серверу (данный вариант проверялся на Centos 5.6):

*/1 * * * * netstat -an | grep tcp | awk ‘‘ | cut -d: -f1 | sort -n | uniq -c > /var/log/ip.list

Данная команда создает список с кол-вом подключений и самим IP, пример:

10 209.232.223.117
1 209.85.161.191
2 212.113.39.162
1 212.78.78.78
61 213.142.213.19
5 213.151.240.177
1 210.169.67.225
1 216.179.59.97

Сам скрипт, который можно запустить в screen-е или сделать демоном:

#!/bin/bash
connects=150 /dev/null 2>&1
then
// если в имени хоста есть слово google (у гугло-ботов это слово присутствует)
if echo $hostname | grep «google» > /dev/null 2>&1
then
// то добавляем его в белый список и делаем запись в лог
echo «$ip» >> /etc/white.list
echo `date +%H:%M_%d-%m-%Y` $ip «- ADDED TO WHITE LIST AS $hostname SEARCH BOT IP» >> /var/log/ddos_log
else
// если не гугл — блочим
route add $hostname reject
fi
fi
fi
done

Давайте также посмотрим и на настройки параметров Apache, которые помогут избежать некоторых проблем вызванных DDoS атакой.

TimeOut – указывайте как можно меньшее значение для данной директивы (веб сервера, который подвержен DDoS атаке).

KeepAliveTimeout директива – также нужно снизить ее значение или полностью выключить.

Стоит обязательно проверить значения различных тайм-аут директив представленные другими модулями.

Директивы LimitRequestBody, LimitRequestFields, LimitRequestFieldSize, LimitRequestLine, LimitXMLRequestBody должны быть тщательно настроены на ограничение потребления ресурсов вызванных запросами клиентов.

Убедитесь, что вы используете директиву AcceptFilter (на ОС которые поддерживают ее). По умолчанию она включена в конфигурации Apache httpd, но для своей работы может потребовать пересборку с новыми настройками ядра вашей ОС (*nix, *bsd).

Используйте директиву MaxClients, чтобы указать максимальное количество клиентов, которые смогут быть одновременно подключены к серверу — уменьшив значение директивы вы сможете снизить нагрузку на web-сервер.

Защитится от DDoS можно и на программном уровне. В этом вам поможет бесплатный скрипт – DDoS Deflate. С его помощью можно легко избавится от детского флуда и DDoS. Скрипт использует команду «netstat» для обнаружения DDoS и флуда, после чего блокирует IP адреса вредителей с помощью фаервола iptables или apf. Но не стоит расслабляться и считать, что слабый DDoS не сможет нанести ущерб вашему серверу. Возьмем, к примеру, что атакующих зомби-машин всего 10-50, но все они с толстыми каналами, а Вы, как назло, уехали в командировку, или у вас десятки (а то и сотни) серверов, и Вы не успеваете физически “мониторить” их все. В таком случае, даже небольшое количество машин сможет “зафлудить” канал или заставить выйти из строя вебсервер apache, mysql, etc. Другое дело, когда администратор круглосуточно “мониторит” сервер и с легкостью обнаруживает атаки. Но такое бывает крайне редко, поэтому нужно подключить систему сигнализации, а процесс блокировки атакующих зомби-машин — автоматизировать.

Источник