Анти-DDoS для VPS и выделенных серверов

DDos-атаки (Distributed Denial of Service) стали серьезной угрозой для существующих компьютерных сетей.

Если ваш сайт не загружается из-за перегрузки трафиком, вы, вероятно, стали жертвой пресловутой атаки с отказами на обслуживание (DDoS). DDoS-атаки стали кошмаром для компаний с активным присутствием в интернете. От BBC до Twitter и сайта Дональда Трампа Netflix в 2016 году, все были подвержены самым беспрецедентным кибератакам в истории интернета.

В постоянно меняющемся мире высокотехнологичных гаджетов и растущей популярности интернета, DDoS-атаки увеличились в 2,5 раза за последние 3 года и, как считается, становятся все более частыми явлениями в последнее время.

Одно можно сказать точно: DDoS может остановить ваш бизнес и заставить его отключиться через несколько минут. Проще говоря, ни один пользователь не сможет получить доступ к вашему сайту.

Это связано с тем, что атаки перегружают ресурсы и пропускную способность сервера, таким образом пользователи не могут получить доступ к желаемым онлайн-приложениям.

Как правило, он включает в себя использование нескольких внешних систем для наведения целевой системы на запросы для подавления системы сетевым трафиком. Атаки эффективны, так как незащищенной системе трудно различать подлинный трафик и трафик DDoS.

Полезно понимать о фактических рисках от DDoS-атак, прежде чем вкладывать деньги в Anti-DDoS.

Чтобы лучше понять DDoS-атаки, в этой статье представлен обзор существующих DDoS-атак и основных технологий защиты от них, мы обсудим эффективные решения для защиты вашего сервера от будущих DDoS-атак.

Прежде всего, если вы используете виртуальный частный сервер (VPS) или облачный сервер, то это поможет вам понять, какое программное обеспечение с открытым исходным кодом вы можете использовать для предотвращения DDoS-атак.

1. DDoS deflate: легкий скрипт оболочки с открытым исходным кодом, который можно легко реализовать на сервере и настроить для смягчения большинства DDoS-атак.

Вот некоторые из особенностей DDoS Deflate:

- Он может автоматически определять правила в iptables или в расширенной политики брэндмауэра (APF).

- Возможность временно блокировать IP-адреса (настройка по умолчанию - 30 минут).

- Функции «Белый список» и «Черный список» для блокировки или подключения к серверу.

- Функции для уведомления администратора о предпринятых действиях.

2. Fail2ban: работает аналогично DDoS deflate, поскольку также запрещает трафик на основе профилирования вредоносных IP-адресов.

Вот некоторые из основных функций:

- Простота настройки с некоторыми функциями автоматизации.

- Совместимость с существующими брандмауэрами, например iptables.

- Настраиваемые функции «черный список» и «белый список».

- Возможность блокировать автоматические атаки с использованием "грубой силы".

- Блокирование IP-адресов по времени.

3. Модуль mod_evasive Apache: модуль mod_evasive предназначен для защиты веб-серверов Apache от DDoS-атак. Он также включает в себя функции уведомления по электронной почте и syslog.

Модуль имеет дополнительное преимущество для адаптации к ситуациям в реальном времени, создавая правила «на лету» на основе следующих шаблонов:

- Запрашивает доступ к одной странице большое количество раз в секунду.

- Создает 50 одновременных подключений к одному дочернему процессу в секунду.

- Выполнение запросов с черного списка IP-адресов.

Некоторые из функций, которые доступны, чтобы предотвратить DDoS-атаки выглядит следующим образом:

- Администратор сервера может ограничить доступ к определенным страницам в зависимости от количества запросов, которые может выполнить один определенный IP-адрес (опция DOSPageCount).

- Доступ к всему веб-сайту может быть ограничен в зависимости от того, сколько соединений использует один конкретный IP-адрес, используя опцию DOSSiteCount.

- Функция DOSHashTable может отслеживать, кто запрашивает доступ веб-серверу и на основе их предыдущих посещений может принять решение, разрешить или заблокировать подключение.

- Администратор может получать уведомление по электронной почте о том, какое действие выполняет Apache mod_evasive.

Mod_evasive относительно прост в использовании, и так как модули с открытым исходным кодом встроены в Apache, его можно использовать бесплатно.

4. HaProxy: это отличный инструмент балансировки нагрузки с открытым исходным кодом, который также эффективен при DDoS-атаках на облачный сервер.

Он имеет следующие функции:

- Может блокировать трафик на основе пропускной способности.

- Содержит черные и белые списки в таблицы IP-адресов, которые строит в своей конфигурации на основе набора правил.

- Возможность блокировать IP-адреса, которые могут выполнять DDoS-атаки.

- HaProxy может идентифицировать ботов, поэтому он эффективен против DDoS-атак.

- Может предотвращать атаки типа Syn Flood, а также имеет такие возможности, как ограничения соединения и т.д.

Существует очень эффективное решение для Anti-Ddos под названием DDoS Protected VPS, которое включает в себя VPS со смягчением DDoS. Это также называется «Anti-DDOS VPS», что указывает на то, что оно расположено на сервере или группе серверов, защищенных от DDoS-атак.

Для этого требуется хороший канал передачи данных. Также требуются надежные аппаратные брандмауэры, которые могут остановить атаку DDoS до того как она обнаружит брешь в защите.

DDoS Protected VPS должен быть способен выдержать такие DDoS-атак, как:

- Объемные DDoS-атаки (поддельный поток трафика).

- Атаки на основе протокола (вредоносный трафик, влияющий на способ передачи данных.)

- Атаки на конкретном сервере или пользовательских приложениях (например, WordPress.)

- Большинство дешевых хостинг - провайдеров не включают защиту от DDoS-атак. Так как это приводит к более высоким эксплуатационным затратам.

Типы DDoS-атак, которые могут быть остановлены при DDoS VPS

- ICMP (Ping) Flood

- UDP Flood

- Ping of Death

- HTTP Flood

- SYN Flood

Защита в транзитных сетях

Механизмы защиты от DDoS-атак, развернутые в промежуточной сети, обеспечивают инфраструктурную защиту большому количеству интернет-хостов. Обычно они запрашивают маршрутизаторы для совместного мониторинга и обмена определенной информацией.

Распределение перегрузки:

Были предложены варианты для клиента защиты от DoS-атак в TCP, SYN-файле cookie, протоколах проверки подлинности, графическом тесте Turing, управлении трафиком приложений и т.д.

Вкратце, когда клиент запрашивает услугу, сервер сначала просит клиента решить проблему до принятия запроса на обслуживание. Затем клиенту необходимо отправить ответ обратно на сервер.

Обычно для решения проблемы требуется определенный объем вычислительных ресурсов, а потребность в ресурсах для проверки ответа незначительна. Сервер будет отклонять запросы на услуги, если клиент не отвечает или ответ неверный. Более простой пример - капча.

Pushback: Буксировка:

Предлагаемый метод управления перегрузками на основе агрегатов (ACC), который управляет потоками пакетов с более высокой детализацией. ACC предоставляет механизм для обнаружения и управления агрегатами на маршрутизаторе с использованием сигнатур атак и механизма pushback, для распространения агрегированных запросов управления (и сигнатур атак) на маршрутизаторы выше по потоку. Механизмы ACC запускаются, когда маршрутизатор испытывает устойчивую перегрузку. Маршрутизатор сначала пытается идентифицировать агрегаты, ответственные за перегрузку. Затем маршрутизатор запрашивает у своих соседних маршрутизаторов скорость-ограничить агрегаты. Поскольку соседи, отправляющие больше трафика в совокупности, более склонны переносить трафик атаки, этот запрос получают только соседям, которые отправляют значительную часть совокупного трафика. Принимающие маршрутизаторы могут рекурсивно распространять pushback далее вверх по потоку.

IP Traceback:

Пакеты, переадресованные маршрутизаторами, могут содержать информацию, помогающую жертвам восстановить путь атаки.

Маршрутизаторы могут добавлять дополнительные сведения в качестве заголовка или дополнительной полезной нагрузки к пакетам, чтобы пограничный маршрутизатор жертвы мог определить маршруты, близкие к атакующим источникам, и попросить этих маршрутизаторов фильтровать количество запросов. Маршрутизаторы также могут вставлять информацию в заголовки IP, чтобы помочь жертвам отслеживать истинные источники атаки.

Вот несколько советов по защите от DDoS-атак:

- Предварительное создание плана действий

- Мониторинг уровней трафика

- Обратите внимание на подключенные устройства

- Обеспечьте Дополнительную Пропускную Способность

- Настройте свои клиенты по безопасности

- Блокировать поддельные IP-адреса

- Часто устанавливайте исправления и обновления

- Агрессивно контролировать полуоткрытые соединения

- Настройка RST-файлов cookie

- Фильтр udp-трафика с удаленных черных дыр

- Запланируйте стресс-тест на сервере

Я рекомендую установить nShield - это простое и верное решение Anti-DDoS для VPS, выделенных серверов и устройств IoT на основе iptables.

Блокировка от сканирования Xmass, Smurf, ICMP Attack и Syn Floods. Требования:

1. Linux-система с python, iptables

2. Nginx (будет установлен автоматически с помощью install.sh)

Внимание Этот скрипт заменит все ваши iptables правила и устанавливает nginx так что примите это во внимание:

git clone https://github.com/fnzv/nShield.git && bash nShield/install.sh

sudo python nshield-main.py -dry

sudo python nshield-main.py -ssl

При написании данного материала ни одна Hydra не пострадала.

Прошу учитывать, что автор материала понятия не имеет как защитить свой сайт от атак огромных сетей ботнетов на подобии Мирай, который способен выдавать гигабайты трафика в секунду при атаке, против таких атак вообще мало кто знает, что делать, напомню в прошлом году ботнет Мирай практически отключил от интернета целую страну.

Но если ты знаешь или имеешь иное мнение как защитить свой сайт от DDoS-атак, прошу тебя высказаться.