Как не допустить проблему
Чтобы предостеречь интернет-ресурс от киберпреступников, используйте профессиональные
- Откажитесь от Windows.
Сайт, работающий на основе Windows, легко атаковать. Причина — сетевой стек: при большом количестве соединений сервер начинает зависать. Используйте Linux. В этом случае быстро заблокировать спам помогут специальные утилиты, которые используются для оперативного добавления IP-адресов.
- Забудьте об Apache.
Если он все же установлен, то хотя бы поставьте перед ним nginx или lighttpd. Apache на уровне структуры кода чувствителен к одной из самых серьезных атак – Slowloris, которая позволяет моментально сбить работу сервера. Вместо Apache используйте HTTP-сервер.
Что делать, если уже атакуют
Если DDoS-нападки уже происходят, тогда:
- Используйте testcookie.
Это самый быстрый и эффективный способ. Обычно программы-роботы, отвечающие за HTTP-флуд, лишены механизмов HTTP cookie и редиректа. Реже бывают более серьезные, умеющие применять cookies и обрабатывать редиректы. Но в любом случае робот редко является полноценным JavaScript-двигателем. Задача testcookie-nginx — оперативное отсеивание ложных запросов. И хотя метод не является панацеей, от примитивных атак он все же помогает.
- Используйте код 444.
Он оперативно закрывает соединение, и злоумышленники теряют возможность подключиться к самой ресурсоемкой части сайта. Простые пользователи временно не смогут искать информацию, зато сайт будет оставаться работоспособным.
- Используйте профайлер и встроенный отладчик.
Они проанализируют, какие запросы занимают больше всего времени на обработку, и определят конкретный код, который осуществляет эти запросы.
- Ограничьте ресурсы и соединения в nginx.
Любой ресурс лимитирован определенным количеством оперативной памяти. Так что всех применяемых буферов ограничьте приемлемыми значениями на клиента и на весь сервер.
Лимитировать соединения и запросы, прописав это в конфигурации nginx, тоже можно. Это рекомендуется делать заранее, после тестирования сайта на предмет устойчивости определенному количеству запросов. Угроза DDoS-атак может коснуться кого угодно, поэтому нужно быть к этому готовым. Умело используя приведенные советы, вы сможете защитить свой сайт от непрошеных гостей.
Подробнее...