Защита от DDOS атак

[xyligan]

День добрый всем участникам xenforo.info. Хотелось бы поднять актуальный для всех вопрос по защите сайта (форума) от DDOS атак. Возможно есть какие-то гайды по настройке CloudFlare и того же nginx. Хотелось бы обсудить всё это дело.

 

[Diego01]

В ютубе полно гайдов

 

[xyligan]

В ютубе полно гайдов

Искал, скинь хоть один адекватный и более менее актуальный.

 

[DanielYablochkin]

Искал, скинь хоть один адекватный и более менее актуальный.

Да, сам недавно интересовался данной темой. На ютубе не много информации. Но, можно порыть в поиске, есть сайты которые пытаются хоть что-то дать понять.
По стандарту, открываем проход белым ботам, ставим капчу на пользователей. (можно выбрать например все страны, кроме основой)

 

[xyligan]

Да, сам недавно интересовался данной темой. На ютубе не много информации. Но, можно порыть в поиске, есть сайты которые пытаются хоть что-то дать понять.
По стандарту, открываем проход белым ботам, ставим капчу на пользователей. (можно выбрать например все страны, кроме основой)

Нашел статью на хабре, может кто-то может что сказать по этому поводу?

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

 

[DanielYablochkin]

Нашел статью на хабре, может кто-то может что сказать по этому поводу?

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

С радостью бы тебе помог. Только плохо понимаю.

 

[DreamTails]

Атаки бывают разные, тут не универсальной кнопки "сделать все заебись". Я лично рассматриваю логи, и уже по ним допиливаю текущую защиту

 

[Matew]

Нашел статью на хабре, может кто-то может что сказать по этому поводу?

А что сказать то надо? Изучите матчасть, тогда и любую атаку сможете перехватить. Я не особо вижу смысла в этом вопросе на данном форуме по движку, а не по серверам. Это слишком многогранный вопрос

Ну и как сказал DreamTails , все работает именно так

Атаки бывают разные, тут не универсальной кнопки "сделать все заебись". Я лично рассматриваю логи, и уже по ним допиливаю текущую защиту

 

[CrazyHackGUT]

"Золотой пули" против ддосов не бывает. Но, кажется, самое оптимальное (и закрывающее 90% возможных атак) - это:

• LiteSpeed Cache for XF2 - Community
• limit_req + limit_conn на ныксе
• Любой прокси-сервис, вроде CloudFlare

Это позволяет спастись от банального флуда.

Ещё, для снижения нагрузки от вредителей, я писал небольшой скрипт, который читает логи веб-сервера и самых злостных флудителей запросами отправляет в бан на CloudFlare. Но этот скрипт живёт на отдельном сервере в другом ДЦ, а логи летают через LAN-сеть, созданную силами WireGuard. Обычный сислог, в общем. В моменты ддосов перцпу у этого хоста вылезает в небеса, потому что логов приходится читать очень много. Fail2ban тот же грузил сервер сильнее, чем nginx+mysql+php-fpm вместе взятые.

Так же, нужно позаботиться о том, чтобы IP-адрес форума нельзя было узнать (если он всё же был спрятан за Флару). Форум может "сдеанонить" свой айпишник через обычный функционал анфурлинга ссылок (это который превращает обычный https://ya.ru в тексте на Яндекс). Т.е. юзер может с кем-то в личке на форуме скинуть ссылку куда-то (на свой сервер), а после посмотреть в логах, откуда прилетел запрос, и начать бить туда.
Тут варианта два: или вырубить этот функционал нахрен, или заставить форум ходить с другого IP-адреса (через прокси, прописанный в конфиге форума, или системный ip rule - неважно).