avatar_moloko

Как защититься от DDoS-атак на вашем проекте

Автор moloko, 2015 Авг. 19, 16:19

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Ключевые слова [SEO] защитаddos.htaccessпроектатакафильтрациятрафикаослабление

moloko

Один из методов отбить/ослабить лёгкие школьные атаки ддосеров-любителей на ваш проект.

Данный метод защиты использовался на моем проекте при его старте, и он не супер активный. Для начала, предполагая что напишут тру ДДоСеры, скажу:
Защита строится путем ограничения/фильтрации пакета по географическому признаку. Как правило, новички используют Азию, ну или микс оттуда же, а посему - такую атаку мы отобьем.

Еще одна немаловажная деталь, защита на уровне директории, атаку на соседа/по портам мы так не отобьем.

Пилим в htaccess такой код:

Спойлер
Order Allow,Deny
Allow from all
Deny from 3 4 6 7 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 41 43 44 45 47 48 51 52 53 54 55 56 57 58 59 60 61 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 140.92 140.96 140.109 140.138 163.13 163.32 180 186 187 189 190 192.192 196 200 201 202 203 210 211 214 215 218 219 220 221 222
Deny from 140.110.0.0/15
Deny from 140.112.0.0/12
Deny from 140.128.0.0/13
Deny from 140.136.0.0/15
Deny from 163.14.0.0/15
Deny from 163.16.0.0/12
Deny from 169.208.0.0/12
[свернуть]

В чем минус такой защиты? В том, что пакеты атаки все же проходят через сервер, и отсекаются уже внутри, следовательно нагрузка есть , хоть и в раз 500 меньше, но есть.

Ну собственно вот и все, тапками кидать не надо, я помню как спасал свой проект так)))

P.S можете добавить свои диапазоны айпи адресов, и залочить вообще все кроме Рашки или Украины.

epmak

даже если ты пропишешь в аксесс все ип дудосеров, коих может быть пару тысяч (*censored*ту в расчет даже не беру)  то у тебя сервер загнется просто от того, что к нему идет коннект. он не будет успевать их обрабатывать. от 100 ботов в принципе оно спасет +/- но относительно серьезных ребят - что мертвому припарка.
фильтрацией подобной должен заниматься не хттп сервер, а специализированное оборудование.
данный способ ничем не лучше способа с фаерволом.

Похожие темы (5)