Як захистити ВПС України від DdoS-атак?

  1. ВПС України: що варто перевірити і налаштувати?
  2. FIREWALL
  3. Захист ВІД HTTP-, UDO- ICMP- і SYN-флуда
  4. FAIL2BAN
  5. Попередити легше, ніж боротися
  6. Відгуки про хостинг:

DDoS-атака - це один з найбільш популярних видів онлайн-шахрайства, тому що далеко не всі зловмисники хочуть вкрасти ваші кошти, або заволодіти вашою особистою інформацією. Деякі просто хочуть перешкоджати успішному веденню бізнесу і зривати звичну роботу вашого інтернет-сайту.

Деякі просто хочуть перешкоджати успішному веденню бізнесу і зривати звичну роботу вашого інтернет-сайту

DDoS-атака зовсім не є випадковою. Це добре спланований, скоординований комплекс різних дій, який спрямований на те, щоб на певний час зробити вашу веб-сторінку повністю недоступною для користувачів.

Недавні дослідження показали, що майже третина всіх простоїв в роботі веб-сайтів викликана саме DDoS-атаками. Це справжня загроза вашому сайту, яка цілком може коштувати репутації і навіть викликати відтік відвідувачів.

Навіть якщо ваш ресурс розміщений на VPS хостингу, ви не зможете бути впевнені, що його ніхто не атакує. Хоча надійно захистити VPS від атак DDoS не складно, достатньо тільки знати і використовувати певні правила. У цій статті ми підготували кілька рекомендацій, і дуже сподіваємося, вони вам допоможуть.

ВПС України: що варто перевірити і налаштувати?

У разі якщо ваш інтернет-сайт знаходиться на VPS, то рівень атаки визначити можна самостійно, тимчасово відключивши для цього веб-сервер і добре проаналізувавши логи. Безумовно, якщо ви думаєте, що захист від DDoS-атак - зовсім не ваш профіль і ви потребуєте рекомендаціях, краще звернутися до досвідчених фахівців.

FIREWALL

Перший рівень захисту VPS від атак DDoS - це правильна настройка, а також активне застосування Firewall. Перед його установкою і налаштуванням бажано відключити всі сервіси, які ви не використовуєте. Та й взагалі запускати на веб-сервері, де знаходяться сайти, ще якісь ще сервіси, - погана ідея. Для цього бажано створити якийсь окремий VPS.

За допомогою Firewall можна закрити всі порти, при цьому залишаючи відкритими лише HTTPS, SSH і HTTP. Вся справа в тому, що веб-браузери відвідувачів підключаються тільки до HTTP і HTTPS-портам, в зв'язку з чим всі інші під'єднання відбуваються зовсім не справжніми людьми і обов'язково повинні бути відхилені. Також радимо перемістити ваш SSH сервер на якийсь інший, нестандартний порт.

Захист від DDoS-атак в себе включає також перевірку заголовків всіх вхідних пакетів на повну відповідність протоколу TCP. Боти часто застосовують некоректні пакети для того, щоб використовувати уразливості ПО сервера і заважати його стабільній роботі.

Захист ВІД HTTP-, UDO- ICMP- і SYN-флуда

Для захисту ВПС України від DDoS-атак дуже важливо визначити, який це тип атаки: ICMP, - UDO, HTTP- або SYN-флуд. І вже в залежності від цього зробити рішення, які саме заходи необхідно вжити.

HTTP-флуд вважається однією з найбільш простих DDoS-атак, викликаної атакуючої стороною, яка змушує сервер задіяти найбільші ресурси для відповіді на кожне з HTTP-запитів (POST або GET).

Для запобігання HTTP-флуда необхідний вірно налаштований і добре оптимізований веб-сервер. Вибираючи між Nginx і Apache, експерти віддають перевагу першому, оскільки він менш ресурсномісткий, а також більш стабільний.

Для того, щоб уникнути будь-якого втручання в роботу вашого інтернет-сайту, ви можете також проаналізувати access логи і вже на базі результатів написати спеціальний патерн. Це дозволить відловлювати ботів в автоматичному режимі і банити все їх запити.

При ICMP-флуд на сервер відправляють занадто велике число ICMP-пакетів будь-якого типу, особливо ping. Для того щоб хостинг в європі зробити більш надійним, рекомендуємо вам заборонити ping. Так ви приховаєте вашу машину від численних інтернет-ботів, які сканують мережі.

Атака, що включає в себе постійно повторювану відправку SYN пакетів в кожен з портів сервера із застосуванням фейковий IP-адрес, має назву SYN-флуда. Для повноцінного захисту веб-хостингу необхідно обчислити з'єднання в стані SYN_RECV і потім обмежити нові підключення від певного джерела за конкретний проміжок часу.

Крім того, необхідно враховувати і UDP-флуд. В даному випадку хакер посилає велику кількість UDP пакетів в випадкові або певні порти віддаленого сервера, забиваючи при цьому мережевий канал. Надійно захистити сервер від такої атаки допоможе лише обмеження підключень до сервера DNS.

FAIL2BAN

Якщо ви бажаєте мати VPS, захищений від DDoS-атак, рекомендуємо вам встановити Fail2ban. Дана утиліта, як правило, не включається в основний набір, тому доведеться знайти і встановити її вже самостійно. У Fail2ban з коробки вже повністю налаштовані певні фільтри для веб-серверів, проте все-таки краще їх встановити самостійно.

Для забезпечення повного захисту від DDoS віртуальні хости потрібно налаштувати так, щоб логи для всіх веб-сайтів були загальними. Це допоможе їх захистити за допомогою лише двох спеціальних фільтрів.

Застосовуючи Fail2ban, ви можете налаштувати захист SSH-сервера, тому ніхто на ваші права адміністратора не претендуватиме.

Попередити легше, ніж боротися

Запобігти DDoS-атаки набагато легше, ніж з ними боротися. Для цього необхідно регулярно оновлювати на сервері програмне забезпечення, встановлювати додаткові модулі і патчі, а також вірно налаштовувати сервери на вашому VPS.

З огляду на, що простому користувачеві з усіма даними завданнями впоратися буває важко, а у просунутого, на жаль, не завжди є на це бажання і час, найкращим рішенням, в основному, є вибір дуже надійного провайдера VPS, якому переадресувати можна все дані турботи.

Відгуки про хостинг:


ВПС України: що варто перевірити і налаштувати?
ВПС України: що варто перевірити і налаштувати?