Как защитить свой VPS хостинг от DdoS-атак?

DDoS-атака – один из самых распространенных видов интернет-мошенничества, ведь далеко не все злоумышленники хотят украсть ваши деньги или завладеть личной информацией. Некоторые из них просто заинтересованы в том, чтобы препятствовать нормальному ведению бизнеса и сорвать привычную работу вашего сайта.

 
DDoS-атака не является случайной – это тщательно спланированный и скоординированный комплекс действий, направленный на то, чтобы на какое-то время сделать вашу веб-страницу недоступной для пользователей. Исследования показали, что одна треть всех простоев в работе сайтов связана именно с DDoS-атаками. Это реальная угроза вашему ресурсу, которая может стоить репутации и спровоцировать отток посетителей.

 
И даже если ваш сайт размещен на VPS хостинге, вы также не можете быть уверены в том, что его никто не атакует. Хотя защитить свой VPS от DDoS-атак не так сложно, достаточно знать и применять некоторые  правила. Мы подготовили несколько таких рекомендаций, и надеемся, они вам действительно помогут!
 

 

 

Что необходимо проверить и настроить?

 
Если ваш сайт расположен на VPS, уровень атаки можно определить самостоятельно, временно отключив веб-сервер и проанализировав свои логи. Конечно, если вы чувствуете, что защита от DDoS-атак – не ваш профиль и вы нуждаетесь в практических советах, лучше сразу обратиться к специалистам.

 

1. Firewall

 
Первый уровень защиты вашего VPS от DDoS-атак – правильная настройка и активное использование Firewall. Перед его установкой/настройкой советуем отключить все сервисы, которыми вы не пользуетесь. Да и в принципе запускать на веб-сервере, где размещены сайты, какие-либо еще сервисы, – не очень удачная идея. Для этого лучше создать отдельный VPS.

 
С помощью Firewall вы можете закрыть все порты, оставляя открытыми только HTTP, HTTPS и SSH. Дело в том, что браузеры посетителей подключаются исключительно к HTTP или HTTPS-портам, поэтому все другие подсоединения совершаются не настоящими людьми и должны быть отклонены. Также рекомендуем переместить ваш SSH сервер на другой, более нестандартный порт.

Защита от DDoS-атак включает в себя также и проверку заголовков входящих пакетов на соответствие протоколу TCP. Боты часто используют некорректные пакеты, чтобы эксплуатировать уязвимости программного обеспечения сервера и мешать его нормальной работе.

 

2. Защита от HTTP-, ICMP-, UDO- и SYN-флуда

 

Для защиты вашего VPS от DDoS-атак важно определить, какой именно это вид атаки: HTTP-, ICMP,- UDO или SYN-флуд, и в зависимости от этого решить, какие меры нужно принять.

 
HTTP-флуд является одной из самых простых DDoS-атак, вызванной атакующей стороной, которая заставляет сервер задействовать максимально возможные ресурсы для ответа на каждый HTTP-запрос (GET или POST). Для предотвращения HTTP-флуда нужен правильно настроенный и оптимизированный веб-сервер. Выбирая между Apache и Nginx,  специалисты отдают предпочтение последнему, так как он менее ресурсоемкий и более стабильный. Чтобы избежать вмешательства в работу вашего сайта, вы также можете проанализировать access логи и на основе результатов написать соответствующий паттерн. Это позволит автоматически отлавливать ботов и банить их запросы.

 
При ICMP-флуде на сервер отправляется аномально большое количество ICMP-пакетов (Internet Control Message Protocol) любого типа, особенно ping. Чтобы сделать веб-хостинг более надежным, советуем запретить ping – таким образом вы скроете вашу машину от интернет-ботов, сканирующих сети.

 
Атака, которая включает в себя повторяющуюся отправку SYN (synchronization) пакетов в каждый порт сервера с использованием фейковых IP-адресов, называется SYN-флудом. Для защиты веб-хостинга следует вычислить соединения в состоянии SYN_RECV и ограничить новые подключения от конкретного источника за определенный промежуток времени.

 
Также нужно учитывать и UDP-флуд. В этом случае злоумышленник посылает огромное количество UDP (User Datagram Protocol) пакетов в определенные или случайные порты удаленного сервера, забивая сетевой канал. Защитить сервер от такого рода атаки поможет ограничение подключений к серверу DNS.

 

3. Fail2ban

 
Если вы хотите иметь защищенный от DDoS-атак linux vps, советуем установить Fail2ban. Обычно эта утилита не включается в базовый набор, так что придется найти и установить ее самостоятельно. В Fail2ban из коробки уже настроены некоторые фильтры для веб-серверов, но все же лучше установить их самостоятельно. Для обеспечения защиты от DDoS виртуальные хосты следует настроить таким образом, чтобы логи для всех сайтов были общими. Это поможет защитить их при помощи всего лишь двух фильтров.

 
Используя Fail2ban, вы сможете настроить и защиту SSH-сервера, так что никто не будет  претендовать  на ваши права администратора.
 

Предупредить легче, чем бороться

 
Как бы то ни было, предотвратить DDoS-атаки гораздо легче, чем бороться с ними. Для этого нужно постоянно обновлять программное обеспечение на сервере, устанавливать дополнительные патчи и модули, а также правильно настраивать все серверы на вашем VPS. С учетом того, что обычному пользователю справиться со всеми этими задачами бывает нелегко, а у продвинутого не всегда есть на это время и желание, лучшим решением, как правило, является выбор надежного VPS-провайдера, которому можно переадресовать все эти заботы. Мы постоянно проводим мониторинг вашей системы, чтобы предупредить любые трудности, поэтому с нами никакая атака на VPS вам не страшна.