Cloudflare защита от ddos

Здравствуйте. Нужен ваш совет.

Предположим есть блог N на WP, на который приходит DDoS атака средней тяжести, сайт висит на сервере Nginx FPM+Apache2.

Всё это работает под управлением Ubuntu Server.
Может ли бедный блог Саши Пупыркина и его сервер выжить и выстоять без Cloudflare и ему подобных сервисов?
Если да, то какой метод эффективнее?

  • Вопрос задан более года назад
  • 556 просмотров

DDoS это атака на отказ, когда оборудование не справляется.
Он бывает двух видов –

  • Атака на систему – вам шлют кучу запросов, ваш сервер не справляется и сервис недоступен.
  • Атака на канал – вам шлют кучу запросов ваш канал в интернет не справляется и сервис недоступен.

Первый вариант атаки можно отбить своими силами – поставить более мощный сервер, оптимизировать софт, игнорировать "тяжелые" запросы, фильтровать запросы. поставить еще один сервер, поставить балансировщик.
В общем все решаемо своими руками и малыми затратами, хотя нужны знания и опыт.

Второй вариант – не лечится никак, атака тупо забъет канал вашего хостера или провайдера и вы останетесь без связи.
Вы конечно можете купить реально широкий канал- но это огромные деньги и инфраструктура.
Cloudflare и ему подобные имеют огромные деньги, инфраструктуру, и кучу каналов – их забить практически невозможно, они выдерживают атаку на сеть и оказывают услуги по фильтрации трафика который идет к вашему серверу.

на время атаки просто временно отключить сервер и разослать пользователям ( специфика, допустим, позволяет )

при начале атаки web-сервер посылает сигнал "SOS"

Посоветуйте какой-нибудь сервис максимально недорогой или бесплатный

Каким образом он пошлет сигнал, если на него идет атака?

При начале атаки web-сервер посылает сигнал "SOS" на тот сервер

"Средней тяжести" это по каким меркам?
О канале и серверном железе (виртуалке?) вы вообще не упомянули.

Если забивают канал – то самостоятельно вы ничего не сделаете.
Если перегружена виртуалка, то вас отключит хостер.
Если все не так плохо, то ставьте какой-нибудь fail2ban, настраивайте и радуйтесь (если получится).

В любом случае – удачи вам в этом начинании.

Может ли бедный блог Саши Пупыркина и его сервер выжить и выстоять без Cloudflare и ему подобных сервисов?

Данную статью писал на ресурсе посвящённому XenForo, но там были замечания + дополню то о чём утаил забыл написать и немного переработал статью, итак:

1)Что-же такое CloudFlare (CF) и зачем нужно:

– Это бесплатный и надёжный DNS-хостинг;

– Это бесплатное кеширование сайтов и ускорение загрузки, а также снижение нагрузки на сервер;

– Это возможность опять-таки бесплатно использовать SSL на своём сайте, причём дают сертификаты от таких "грандов" как Comodo, GlobalSign и т.д., как это сделать расскажу в статье;

– Бесплатно можно отбивать атаки до 10 Гбит/c, также можете дополнительно защитить свой ресурс от атак на ресурс (Как, расскажу в этой статье);

– Платно отбивает от атак до 750 Гбит/с, также если заплатите 20 баксов, то появится возможно подключить Web Application Firewall, который будет защищать ваш ресурс от XSS-атак и других атак на сайты !

Сразу скажу про минусы CloudFlare:

– Т.к. данным сервисом часто пользуются хукеры, для скрытия IP-адресов скажем-так недобропорядочных сайтов, а конкретней таких-как размещение продажи фармы, порно и других прелестей, то существует вероятность попадания IP-адресов CloudFlare в чёрный список Роскомнадзора, хотя у меня не разу такого не было (При посещении ресурсов под CloudFlare), но вероятность есть.

Читайте также:  Graphic mode в биосе

– Неисключены ложные срабатывания на посетителей вашего ресурса и им придётся вводить капчу например, или что ещё хуже вообще не смогут войти на ресурс.

– Для надёжной защиты, вам придётся перенести все ваши домены на днс-сервера CloudFlare, а также запретить все обращения к вашему серверу, кроме IP-адресов CF.

– Вам придётся что-то придумывать с email рассылкой, если она есть, т.к. нужно скрывать реальный IP-адрес сервера, иначе ддосер сможет его определить в загаловке письма и забить канал.

Но тем не менее, несмотря на эти минусы, это единственный бесплатный способ защитить проект , если вы используете шарред хостинг или VDS/сервер без какой-либо защиты (А таких хостингов более 80%) !

Итак расписываю как настроить по шагам:

Заходим на сайт www.cloudflare.com и регистрируемся. На этом этапе необходимо заполнить рабочий e-mail, ник для комьюнити и придумать сложный пароль. Ну и конечно согласиться с правилами сервиса !

Теперь добавляем домен, для которого мы хотим использовать DNS:

3)Пара слов про DNS:

После этого появляется конфигурация нашей DNS зоны.

Если домен уже был рабочий и висел на другом DNS, то записи считаются автоматически.

Если же домен был пустой, только что куплен/зарегистрирован, то их нужно заполнить самому.

Подробнее о записях:

А запись — здесь нужно ввести IP адрес выделенного сервера или VDS. Или если у вас shared хостинг, то IP адрес этого shared хостинга. Можно найти в меню ISPmanager в разделе «Домены»

AAAA запись — тоже самое, только для IPv6

CNAME запись — псевдоним домена, часто используется для привязки блогов тип tumblr, ucoz, blogger и тому подобных к доменам второго уровня

@ A 8.8.8.8 — данная запись направит основной домен на сервер с IPv4 8.8.8.8 поддомены создаются так же, направляются на IP.

www A 8.8.8.8 — поддомен www направлен на тот же сервер. Таким образом нужно добавить все поддомены. ( Красным выделены основные )

Можно один раз прописать, чтобы любой несуществующий поддомен ссылался на ip

Когда вы используете всего один сервер, то это удобно. Но когда поддомены нужно раскидывать на десятки серверов, то всё таки удобно использовать грамотную DNS структуру, т.к. DNS тоже могут засираться 😉

Выше названы 2 типа, через которые можно просто направить домен на какой-то сервер. А есть же еще почта. Я рекомендую пользоваться бесплатной Яндекс.Почтой для домена.

Для почты тип записи MX, TXT еще используется.

Более подробно про типы вы можете почитать в Википедии.

Потом вам предложат посмотреть ролик и выдадут два DNS-домена, которые нужно прописать у регистратора вашего домена, пример:

NS1 — baby.dns.cloudflare.com
NS2 — high.dns.cloudflare.com

4)Непосредственная защита от ддос:

4.1)Нужно ОБЯЗАТЕЛЬНО использовать сторонний сервер почты для домена, например Яндекс;

4.2)Нужно ОБЯЗАТЕЛЬНО удалить NS-записи, которые ведут на сервер, КРОМЕ А-записей и включить проксирование (Оранжевое облако), пример (Используется почта яндекса для домена):

5)Разбор настроек защиты от ддос:

High:обеспечивает широкую защиту от спама, хакерских атак, а также атак типа DDoS. Данный уровень безопасности требует ввода капчи каждым пользователем, который был уличен в злонамеренном поведении на других сайтах. Сервис проверяет браузер пользователя на наличие вредоносных сигнатур. Этот уровень безопасности подойдет администраторам, для которых безопасность веб-сайта находится на первом месте.

Medium: При использовании данного уровня безопасности пользователи будут отсеиваться на основе случаев спама, хакерских атак или атак типа DoS, которые производились данными пользователями на других сайтах. Небходим ввод капчи пользователям, которые были уличены в частых атаках на другие сайты.

Читайте также:  Где языковая панель в виндовс 7

Сервис также проверит браузер пользователя на наличие вредоносных сигнатур. Идеально подойдет для сайтов с высокими требованиями безопасности. На данном уровне риск ложного срабатывания системы безопасности минимален.

Low: Данный уровень безопасности предусматривает отсеивание только тех пользователей, которые регулярно и с высокой периодичности участвуют в хакерских атаках на другие сайты.

Мы не советуем использовать данный уровень безопасности, так как он позволит проникнуть на Ваш сайт пользователям, которые, возможно, могут оказаться злоумышленниками.

Essentially off: запретит доступ к Вашему сайту только тем пользователям, которые на данный момент участвуют в известной сервису DoS атаке.

Подойдет веб-мастерам, которые используют CF в основном для увеличение скорости выдачи контента пользователям. Мы также не рекомендуем использовать данный уровень в целях безопасности.

I’m Under Attack!: Будет показывать заглушку посетителям и проверять браузер ботам:

6)Советы для защиты форума:

6.1) Если вы используете e-mail рассылку для регистрации и новостей в темах, то к сожалению ваш реальный айпи адрес может перехватить ддосер в загаловках письма и вся эта защита сведётся к нулю, но тут следующее решение:

– Отказаться от всех емаил рассылок (Отключить);

– Арендовать VPS и пересылать письма через SMTP, но не забывать чистить загаловки, как это сделать смотрим здесь.

6.2)Вместо I’m Under Attack! которые будут напрягать пользователей, можно предложить ввод капчи с пользователей стран, которые участвуют в атаки, сделать это можно в настройках CF:

В граф Firewall (Там-же кстати и выбирается Security Level):

Вписываем страну (Например Китай CN), выбираем "Challenge" и нажимаем ADD, всё все пользователи из Китая, будут вводить капчу.

6.3)Запретите доступ всем IP, кроме этих адресов:https://www.cloudflare.com/ips

Для того-чтобы сделать реальные IP-адреса пользователей на уровне nginx, воспользуйтесь этим мануалом: https://support.cloudflare.com/hc/e. -do-I-restore-original-visitor-IP-with-Nginx-

7)Совет как использовать SSL на халяву:

Последний пункт, как использовать SSL для сайта:

На выбор предлагаются 4 схемы работы веб-сайта: без шифрования на всей протяженности запроса и 3 новых варианта:

Первая из них не требует никаких изменений на стороне сервера, трафик при этом передается между прокси-серверами и вашим ресурсом в открытом виде.

Вариант Full SSL допускает использование любого самоподписанного сертификата, что ненамного надежнее первой схемы и защищает трафик только от пассивного прослушивания. Поэтому в качестве рекомендуемого варианта называется третья опция, требующая наличие у сервера валидного сертификата от общепризнанных ЦС.

В дальнейшем предполагается использование собственного Cloudflare CA, позволяющего защитить канал между сервером и прокси (при этом в браузерах сертификаты Cloudflare CA признаваться не будут, схема планируется исключительно для служебных целей).

В общем выбираете нужную схему и всё.

Вроде всё, все дополнения к статье приветствуются !

Fast, globally distributed and intelligent protection against sophisticated DDoS attacks

Protect your Internet properties with a cloud-based, always-on DDoS protection, powered by the intelligence harnessed from Cloudflare’s always learning global network

Layered Security Defense

Cloudflare’s layered security approach combines multiple DDoS mitigation capabilities into one service. It prevents disruptions caused by bad traffic, while allowing good traffic through, keeping websites, applications and APIs highly available and performant.

No matter the type of DDoS attacks, we block them, fast!

Ease of Use and Management

Cloudflare’s DDoS protection is built on an intuitive interface that empowers users to quickly and easily protect their Internet properties against emerging and sophisticated DDoS threats, with just a few clicks.

Читайте также:  Меня плохо слышно в дискорде что делать

All Cloudflare plans offer unlimited and unmetered mitigation of distributed denial-of-service (DDoS) attacks, regardless of the size of the attack, at no extra cost. No penalty for spikes in the network traffic associated with a distributed attack.

Fast, Automated Mitigation

Unlike other industry-solutions, Cloudflare’s DDoS production does not have bottleneck dependency on limited ‘scrubbing centers’. The 190+ points of presence globally host all Cloudflare security services that enables a distributed and automated mitigation model against any DDoS attack.

Threat Intelligence At-Scale

Cloudflare’s DDoS protection is fueled by the intelligence of its global network, that protects over 20 million+ websites and has over 1 billion unique IP passing through it every day. This intelligence enables a unique vantage point to protect against the most sophisticated attacks.

Integrated Security and Performance

Cloudflare’s DDoS protection is designed to integrate, learn and operate seamlessly with other security and performance products including Web Application Firewall, Bot Management, Magic Transit, Load Balancer, CDN and more.

Analyze your data, your way

Cloudflare Analytics enables you to analyze DDoS events through Cloudflare’s dashboard or GraphQL. Alternately, Cloudflare logs can be integrated with leading third-party SIEMs to seamlessly integrate with your business processes.

Fast, Reliable and Automated

Business continuity and delivering an uninterrupted customer experience is of paramount importance in today’s digital world. For fast and efficient mitigation, automation is key. Cloudflare’s DDoS protection is powered by our proprietary and fully automated mitigation systems – Gatebot and DosD

Our automation systems observe the network, note the anomalies, understand the targets of attacks and related metadata to perform appropriate mitigation action. Global, distributed network capacity ensures high service availability even in the face of big and sophisticated attacks, by automatically diverting traffic to the next closest point of presence.

Simple and Integrated Design

Ease of use and management is a key design tenet for Cloudflare’s DDoS protection. DDoS attacks are blocked at the edge to keep your origin servers up and available agnostic of where they reside – on-premise, cloud or in a hybrid environment.

Cloudflare’s DDoS protection is built to operate and integrate seamlessly with security and performance products including WAF, Rate Limiter, Bot Management, CDN, Argo smart routing, website optimizations and the latest web standards.

Cloudflare Logs integrate with third-party monitoring tool sets through APIs, to provide comprehensive visibility and actionable metrics.

DDoS attacks do not have boundaries, your DDoS protection shouldn’t either

Cloudflare’s global Anycast network spans across 190+ cities and operates within 100 milliseconds of 99% of the Internet-connected population in the developed world. Each point of presence across these 190+ locations runs the entire stack of Cloudflare’s security services.

This modern design approach enables faster mitigation as compared to slower legacy design that relies on traffic being redirected to limited ‘scrubbing centers’. With the Anycast network, an attack against a single IP will be delivered to multiple locations. 30 Tbps of network capacity allows it to handle any modern distributed attack, including those targeting DNS infrastructure.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock detector