ServerAdmin.ru

Продолжение, начало 👆👆👆

И тоже добавил в cron на выполнение раз в минуту. Опять не помогло. Список растёт, банов много, но у CPU всё равно загрузка на 100%. Nginx переваривает всё новые и новые соединения с разных IP.

Решил закрыться списками стран. Разрешить только РФ и некоторые соседние. Списки IP для автоматизации всегда брал здесь:

⇨ https://www.ipdeny.com/ipblocks/

Примерно так это выглядит:

# wget -O ru_ip http://www.ipdeny.com/ipblocks/data/countries/ru.zone
# ipset -N ru_ip nethash
# cat ~/ru_ip | xargs -n1 ipset -A ru_ip
# iptables -I INPUT 3 -m set --match-set ru_ip src -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT 4 -m set --match-set ru_ip src -p tcp --dport 443 -j ACCEPT
# iptables -I INPUT 5 -p tcp --dport 80 -j REJECT
# iptables -I INPUT 6 -p tcp --dport 443 -j REJECT

Скачал список адресов, закинул его в ipset, разрешил соединения из этого списка, остальных заблокировал. Тут важен порядок правил. Пишу уже по памяти, может где ошибся, не проверяю команды. Но смысл ясен.

После того, как применил всё, понимаю, что я сам не могу подключиться. Проверяю свой IP и вижу, что его тупо нет в скачанном списке. Становится ясно, что этот список неактуальный и пользоваться им не нужно. Частично, кстати, он помог, но всё равно было много запросов и из РФ. Виртуалку не разгрузил.

Дальше начал выборочно смотреть IP адреса и банить отдельные страны таким же способом через iptables + ipset. Понемногу это помогало, но мне в итоге надоело. Решил просто проверить и поставить на указанный URL код ответа 404. После того, как это сделал, ддос прекратился в течении минуты. Почему-то 502 код ответа не помог, а на 404 ддос сразу закончился.

Я не знаю, что это было. Наверное со временем я бы перебанил кучу IP адресов и стало бы полегче, но перспективы самостоятельной борьбы против сильно распределённого ддоса сомнительные. У тебя тупо нет инструментов. IP адресов много, закрыться наверняка не получается. Нужен мощный устойчивый промежуточный узел для фильтрации. Я, когда оставил только РФ, видел, что массовые запросы идут в том числе с московских IP адресов.

Вывод можно сделать такой. Если вам нужна реальная защита от ддос, то подключайте внешний сервис. Сами вы ничего особо не сделаете. У меня явно была какая-то случайная история. Может по ошибке кто-то долбил в сервер, может просто тренировался. Я не знаю. Если бы хотели, сервер бы уронили. Надо было ещё немного добавить трафика и меня бы банально хостер отключил. Ну а так вышло, как вышло.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

www.tgoop.com/srv_admin/4566

10.1K viewsApr 24 at 06:11

Продолжение, начало 👆👆👆

И тоже добавил в cron на выполнение раз в минуту. Опять не помогло. Список растёт, банов много, но у CPU всё равно загрузка на 100%. Nginx переваривает всё новые и новые соединения с разных IP.

Решил закрыться списками стран. Разрешить только РФ и некоторые соседние. Списки IP для автоматизации всегда брал здесь:

⇨ https://www.ipdeny.com/ipblocks/

Примерно так это выглядит:

# wget -O ru_ip http://www.ipdeny.com/ipblocks/data/countries/ru.zone
# ipset -N ru_ip nethash
# cat ~/ru_ip | xargs -n1 ipset -A ru_ip
# iptables -I INPUT 3 -m set --match-set ru_ip src -p tcp --dport 80 -j ACCEPT
# iptables -I INPUT 4 -m set --match-set ru_ip src -p tcp --dport 443 -j ACCEPT
# iptables -I INPUT 5 -p tcp --dport 80 -j REJECT
# iptables -I INPUT 6 -p tcp --dport 443 -j REJECT

Скачал список адресов, закинул его в ipset, разрешил соединения из этого списка, остальных заблокировал. Тут важен порядок правил. Пишу уже по памяти, может где ошибся, не проверяю команды. Но смысл ясен.

После того, как применил всё, понимаю, что я сам не могу подключиться. Проверяю свой IP и вижу, что его тупо нет в скачанном списке. Становится ясно, что этот список неактуальный и пользоваться им не нужно. Частично, кстати, он помог, но всё равно было много запросов и из РФ. Виртуалку не разгрузил.

Дальше начал выборочно смотреть IP адреса и банить отдельные страны таким же способом через iptables + ipset. Понемногу это помогало, но мне в итоге надоело. Решил просто проверить и поставить на указанный URL код ответа 404. После того, как это сделал, ддос прекратился в течении минуты. Почему-то 502 код ответа не помог, а на 404 ддос сразу закончился.

Я не знаю, что это было. Наверное со временем я бы перебанил кучу IP адресов и стало бы полегче, но перспективы самостоятельной борьбы против сильно распределённого ддоса сомнительные. У тебя тупо нет инструментов. IP адресов много, закрыться наверняка не получается. Нужен мощный устойчивый промежуточный узел для фильтрации. Я, когда оставил только РФ, видел, что массовые запросы идут в том числе с московских IP адресов.

Вывод можно сделать такой. Если вам нужна реальная защита от ддос, то подключайте внешний сервис. Сами вы ничего особо не сделаете. У меня явно была какая-то случайная история. Может по ошибке кто-то долбил в сервер, может просто тренировался. Я не знаю. Если бы хотели, сервер бы уронили. Надо было ещё немного добавить трафика и меня бы банально хостер отключил. Ну а так вышло, как вышло.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

BY ServerAdmin.ru