Простые рецепты защиты от DDoS-атаки своими силами

Как не допустить проблему

Чтобы предостеречь интернет-ресурс от киберпреступников, используйте профессиональные способы защиты от ДДоС-атак или выполните следующие условия:

• Откажитесь от Windows.

Сайт, работающий на основе Windows, легко атаковать. Причина — сетевой стек: при большом количестве соединений сервер начинает зависать. Используйте Linux. В этом случае быстро заблокировать спам помогут специальные утилиты, которые используются для оперативного добавления IP-адресов.

• Забудьте об Apache.

Если он все же установлен, то хотя бы поставьте перед ним nginx или lighttpd. Apache на уровне структуры кода чувствителен к одной из самых серьезных атак – Slowloris, которая позволяет моментально сбить работу сервера. Вместо Apache используйте HTTP-сервер.

Что делать, если уже атакуют

Если DDoS-нападки уже происходят, тогда:

• Используйте testcookie.

Это самый быстрый и эффективный способ. Обычно программы-роботы, отвечающие за HTTP-флуд, лишены механизмов HTTP cookie и редиректа. Реже бывают более серьезные, умеющие применять cookies и обрабатывать редиректы. Но в любом случае робот редко является полноценным JavaScript-двигателем. Задача testcookie-nginx — оперативное отсеивание ложных запросов. И хотя метод не является панацеей, от примитивных атак он все же помогает.

• Используйте код 444.

Он оперативно закрывает соединение, и злоумышленники теряют возможность подключиться к самой ресурсоемкой части сайта. Простые пользователи временно не смогут искать информацию, зато сайт будет оставаться работоспособным.

• Используйте профайлер и встроенный отладчик.

Они проанализируют, какие запросы занимают больше всего времени на обработку, и определят конкретный код, который осуществляет эти запросы.

• Ограничьте ресурсы и соединения в nginx.

Любой ресурс лимитирован определенным количеством оперативной памяти. Так что всех применяемых буферов ограничьте приемлемыми значениями на клиента и на весь сервер.

Лимитировать соединения и запросы, прописав это в конфигурации nginx, тоже можно. Это рекомендуется делать заранее, после тестирования сайта на предмет устойчивости определенному количеству запросов. Угроза DDoS-атак может коснуться кого угодно, поэтому нужно быть к этому готовым. Умело используя приведенные советы, вы сможете защитить свой сайт от непрошеных гостей.