Борение с DDoS-атаками — работа не лишь только трудная, но и интересная. Не странно, собственно что любой системный администратор первым делом пробует осуществить оборону собственными силами — что больше собственно что пока же ещё это antiddos вполне вероятно.
Мы приняли решение посодействовать для вас в данном тяжелом деле и опубликовать некоторое количество кратких, очевидных и не универсальных рекомендаций по обороне вашего вебсайта от атак. Приведенные рецепты не несомненно помогут для вас преодолеть с всякий атакой, но от большинства угроз они вас уберегут.
Верные компоненты
Грозная не все такая, собственно что почти все веб-сайты имеет возможность положить всякий желающий, воспользовавшись атакой Slowloris, ddos защита наглухо убивающей Apache, или же устроив например именуемый SYN-флуд с поддержкой фермы виртуальных серверов, поднятых за минутку в облаке Amazon EC2. Все наши последующие рекомендации по обороне от DDoS собственными силами базируются на надлежащих весомых критериях.
1. Отречься от Windows Server
Практика дает подсказку, собственно что вебсайт, http://ddosforum.com который трудится на винде (2003 или же 2008 — неважно), в случае DDoS обречен. Первопричина беды скрывается в виндовом сетевом стеке: когда соединений делается довольно большое количество, то сервер безусловно начинает дурно отвечать. Мы не знаем, отчего Windows Server в этих обстановках трудится так отвратительно, но сталкивались с данным не один и не два. По данной основанию речь в предоставленной заметке станет подходить о средствах обороны от DDoS-атак в случае, когда сервер вертится на Linux. В случае если вы блаженный владелец сравнительно передового ядра (начиная с 2.6), то в качестве изначального инвентаря станут играть утилиты iptables и ipset (для скорого прибавления IP-адресов), с поддержкой коих возможно практически сразу забанить роботов. Ещё раз источник к удаче — верно приготовленный сетевой стек, о чем мы еще станем болтать дальше.
2. Расстаться с Apache
2-ое весомое условие — отказ от Apache. В случае если у вас, не ровен час, стоит Apache, то как минимальное количество поставьте перед ним кеширующий прокси — nginx или же lighttpd. Apache’у в высшей степени с трудом отдавать файлы, и, собственно что ещё ужаснее, он на базовом уровне (то есть неисправимо) уязвим для опаснейшей атаки Slowloris, позволяющей завалить сервер чуток ли не с мобильного телефонного аппарата. Для борьбы с разными обликами Slowloris юзеры Apache выдумали в начале патч Anti-slowloris.diff, затем mod_noloris, вслед за тем mod_antiloris, mod_limitipconn, mod_reqtimeout… Но в случае если вы желаете безмятежно дремать по ночам, легче арестовать HTTP-сервер, несокрушимый для Slowloris на уровне зодчества кода. В следствие этого все наши последующие рецепты базируются на предположении, собственно что на фронтенде применяется nginx.