Защита windows от ddos атак

• Experiencing a DDoS attack can incapacitate your website, so you need Windows Server DDoS protection.
• Once set up, these tools, software, and web services will automatically prevent DDoS attacks. 
• We did the hard work for you and found the best available options, presented in this guide.

Sucuri – Constant threat monitoring

Sucuri is a web security company that provides cloud-based security services. It is not the software you must install but a subscription service that will keep your website safe from malware, hackers, and DDoS attacks.

Regarding DDoS, Sucuri’s platform detects and blocks DDoS layers 3, 4, and 7 attacks. All these attacks are aggregated and analyzed by the Sucuri platform’s AI to anticipate malicious behavior.

Other features include:

• The cleaning process doesn’t affect the website in any way.
• A website firewall protects you from malware and hacking, brute force and DDoS attacks, and zero-day exploits.
• Constant threat monitoring with a variety of alert options.
• Highly optimized CDN that offers greater loading speeds for webpages.
• Unlimited malware removal.
• Increased page loading speed.

Sucuri

Highly secure your Windows server with this security resource that stops any malware or DDoS attacks.

SiteLock – Built-in VPN

SiteLock is another great cloud-based website security service that will eliminate all the possible threats that might affect your website, and it offers DDoS protection.

Let’s get straight to the point: SiteLock offers infrastructure, web application protection, and DNS security.

It also detects and blocks application levels of DDoS attacks and gives you detailed reports so you can be up to date with the state of your website after each attack.

Other features include:

• Automatic separation for human and bot traffic.
• Detects DDoS attempts and starts different protection services accordingly.
• Full PCI compliance lets you keep your client’s card details safe from third parties.
• The built-in VPN ensures your anonymity online.
• Great hosting security that protects your end-users.

⇒ Get SiteLock

Imperva FlexProtect – API security

FlexProtect is a very reliable tool, offering complete protection from all types of network and application-level DDoS attacks. The tool automatically filters traffic for transparent mitigation and relies on a 2Tbps network backbone for instant overprovisioning.

FlexProtect secures websites against the most fierce and dangerous DDoS attacks without disrupting your business.

Thanks to its cloud-based service, your online business will be up and running even under attack, and your visitors won’t notice anything unusual.

Other features include:

• A real-time dashboard that gives you a useful overview of your security.
• Uses advanced technologies to reduce the number of false positives to a minimum.
• Web application Firewall Gateway.
• API security – protects your website and APIs by using a single-stack approach.
• Attack analytics – automatically analyzes the threats and adapts to them proactively.

⇒ Get Imperva FlexProtect

BeeThink anti-DDoS Guardian – Real-time network activities monitoring

BeeThink’s anti-DDoS tool protects your Windows servers against most DDoS/DoS attacks, such as SYN attacks, IP flood, TCP flood, UDP flood, ICMP flood, slow HTTP DDoS attacks, Layer 7 attacks, Application attacks, Windows Remote Desktop brute force password guessing attacks, and more.

This DDoS protection software is light, robust, and can easily be deployed on Windows website server machines.

Other features include:

• Support multiple IP list formats, such as Apache’s .htaccess.
• Automatically update the IP list.
• Support IP blacklist and white list.
• Support exceptional rules.
• Look up remote IP addresses and ownership information.
• Run Anti-DDoS Guardian as a Windows service.

⇒ Get BeeThink anti-DDoS Guardian 

Cloudbric – Deep learning system

Cloudbric is a reliable Windows Server DDoS protection tool that can be used by anyone with a website and domain, irrespective of the website platforms hosting your online business.

You can activate Cloudbric on your website in less than three minutes – a simple DNS change is all you need.

This tool sets up a shield in front of your website to filter malicious attacks. Penta Security System guarantees that Cloudbric can protect your website against all cyber-attacks.

Major companies activating in various fields, such as Samsung, ING, eBay, and others, rely on Cloudbric to protect their websites.

Other features include:

• Easy-to-use interface
• The dashboard allows you to have an overview of your entire security settings plan
• Deep learning system – COCEP engine that integrates a machine learning platform called VISION
• You can download monthly customized reports

⇒ Get Cloudbric

These were the best options for Windows Server DDOS protection, and a few here also offer remote DDOS protection. So, get one of these today to protect your website.

Also, for those looking for all-around protection, check the best website security software.

https://gbcdn.mrgcdn.ru/uploads/post/2180/og_image/276cb16b0a85316a669cd2db4cdc5af7.jpg

DDoS-атаки бывают разных типов — злоумышленники могут атаковать как сервер в целом, так и отдельный сайт. Сегодня мы подробнее остановимся на атаках уровня L7, его еще называют уровнем приложений. В случае с сайтами, такая атака направлена на http/https-сервер и проявляется, как правило, в том, что на веб-сервере запускается огромное количество процессов — нагрузка возрастает и сервер начинает тормозить или становится недоступен по причине исчерпания ресурсов.

Далее расскажем о том, как выявить проблемный сайт на сервере и восстановить работоспособность сайтов при атаках.

1. Диагностика на наличие атаки
   1. Определяем наличие атаки 
   2. DoS-атаки и выявление источника атаки по логам
   3. Простой, но важный способ снижения нагрузки от атак
2. Защита от DDoS-атак
   1. С помощью ISPmanager
      1. Точечная блокировка в ISPmanager
      2. Блокировка по странам
   2. Ручные настройки 
      1. Корректировка параметров apache
      2. Модули nginx
      3. Переменные sysctl
3. Подключение DDoS-защиты
   1. Если нужен сервис защиты, но бюджет не позволяет

Диагностика на наличие атаки 

В первую очередь нам необходимо понять, есть ли DDoS-атака.

Если это атака на канальном уровне, то, скорее всего, ваш сервер будет недоступен, так как сетевой канал забит, и попасть на сервер можно будет только через VNC.
Однако в данной статье мы говорим об атаках на веб-сервер — в этом случае, если есть возможность — зайдите на сервер по ssh.

Определяем наличие атаки

Командами ps и top вы можете выявить главный признак атаки — большое количество процессов httpd (apache2), php-fpm или nginx (реже). 

Если на сервер по ssh войти не удается, то вполне возможно еще удастся попасть через окно VNC в панели VMmanager (бессетевой доступ к VDS).

Также можно перезагрузить сервер через VMmanager и попробовать зайти по ssh. Если возрастает количество процессов веб-сервера, то необходимо остановить его либо, как вариант, можно «убить» все процессы веб-сервера командой:

killall -9 <имя демона-процесса веб-сервера>

Посмотреть, какой процесс запускается в качестве веб-сервера, можно с помощью команды (если утилиты netstat нет, то необходимо предварительно ее установить):

netstat -na | grep ':80 '

netstat -na

Посмотреть количество процессов веб-сервера и количество подключений на 80-ый порт:

ps aux | grep -с <имя демона-процесса веб-сервера>

netstat -na | grep -с ":80 "

Эти команды считают количество процессов веб-сервера и количество подключений на 80 порт (если у вас используется SSL-сертификат, то вместо “80” необходимо указывать “443”, оптимально использовать оба варианта).

Если количество соединений превышает среднестатистическое, вероятно, это DoS/DDoS-атака.

DoS-атаки и выявление источника атаки по логам 

DoS-атаки случаются даже чаще,чем DDoS, и если говорить максимально упрощенно, то их отличает то, что они:

• либо направлены с одного источника,
• либо не приводят к полной недоступности ресурса — только к высокой нагрузке,
• либо их основная цель использовать уязвимость на сайте или ином веб-ресурсе.

Посмотреть, какие источники подключений к 80-му (443-му) порту присутствуют, можно с помощью команды:

netstat -an | grep -E ':80 |:443 '| awk '{print $5}' | grep -Eo '[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}' | sort | uniq -c | sort -n

Команда выведет список по возрастанию в виде строк: количество подключений — ip-адрес источника.

Данная команда также поможет в выявлении DoS/DDoS. Tcpdump запишет в файл ddos.log первые 200 пакетов, которые соединений на 80/443 порту:

tcpdump -nr ddos.log | awk '{print $3}' |grep -oE '[0-9]{1,}.[0-9]{1,}.[0-9]{1,}.[0-9]{1,}' |sort |uniq -c |sort -rn

Если атака временно прекратилась или вы хотите узнать, откуда больше всего подключались, можно проанализировать access-лог веб-сервера командой:

grep `date +%d/%b/%Y` /var/www/httpd-logs/*.access.log  | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10

Она выведет список 10 наиболее «активных» IP-адресов. Также по логу можно выявить, на какой сайт идет очень много обращений.

Выяснить, не было ли однотипных обращений, можно командой:

grep `date +%d/%b/%Y` /var/www/httpd-logs/*.access.log | awk '{print $1" "$7}' | sort | uniq -c | sort -rnk1 | head -n 10

Для этой же цели многие предпочитают использовать модуль mod_status.

Mod_status позволяет в реальном времени осуществлять мониторинг загрузки сервера.

Например, в случае apache 2.4 необходимо отредактировать файл /etc/apache2/mods-enabled/status.conf

Поменять секцию:

      <Location /server-status>

               SetHandler server-status

               Require local

               #Require ip 192.0.2.0/24

       </Location>

на

      <Location /server-status>

               SetHandler server-status

       </Location>

Затем проверить, чтобы следующая строка строка была не закомментирована, т.е. присутствовала в файле именно в таком виде:

ExtendedStatus On

Перезапустите apache.

Теперь по адресу http://ip-aдрес.сервера/server-status доступна статистика запросов к нему.

Нас интересует следующее:

0-0    86795    0/31/31    W     0.54    0    0    0.0    0.09    0.09     89.18.166.89    example.com    GET / HTTP/1.0

1-0    86796    0/19/19    W     0.30    0    0    0.0    0.06    0.06     79.140.78.68    example.com    GET / HTTP/1.0

2-0    86801    0/9/9    W     0.15    0    0    0.0    0.03    0.03     89.18.166.89    example.com    GET / HTTP/1.0

3-0    86802    0/9/9    W     0.14    0    0    0.0    0.03    0.03     82.12.33.48    myhost.com    GET /server-status/ HTTP/1.1

4-0    86805    0/4/4    W     0.07    1    0    0.0    0.01    0.01     79.140.78.68    example.com    GET / HTTP/1.0

5-0    86806    0/3/3    W     0.06    2    0    0.0    0.01    0.01     89.18.166.89    example.com    GET / HTTP/1.0

6-0    86807    0/4/4    W     0.07    0    0    0.0    0.01    0.01     89.18.166.89    example.com    GET / HTTP/1.0

7-0    86808    1/4/4    C     0.08    0    2015    3.0    0.01    0.01     89.18.166.89    example.com    GET / HTTP/1.0

8-0    86811    0/1/1    W     0.02    0    0    0.0    0.00    0.00     89.18.166.89    example.com    GET / HTTP/1.0

9-0    86812    0/1/1    W     0.02    0    0    0.0    0.00    0.00     89.18.166.89    example.com    GET / HTTP/1.0

10-0    86813    0/1/1    W     0.02    0    0    0.0    0.00    0.00     89.18.166.89    example.com    GET / HTTP/1.0 

В данном случае атака идет пустыми запросами GET / к серверу example.com. Вам следует его отключить. Выполнить это лучше всего в панели управления: зайдя в раздел с сайтами, выбрать сайт (в данном случае example.com) и нажать сверху кнопку Файлы конфигурации, где вы увидите внизу конфигурационный файл nginx. Найдите отрывок такого вида:

server {

       listen       80;

       server_name  example.com www.example.com;

Пропишите ниже server_name строку

deny all;

Аналогично сделайте в секции, где указано listen 443;

Если у вас нет nginx, а только apache, то перейдите в корневую директорию сайта и создайте файл .htaccess с содержимым:

Deny from All

Теперь при обращении к сайту будет выдаваться ошибка 403 Forbidden, и нагрузка на остальные сайты значительно снизится.

Простой, но важный способ снижения нагрузки от атак

Как правило, флуд-боты обращаются по доменному имени, но могут перебирать и IP-адреса. В этом случае необходимо создать домен-заглушку. Но не забудьте для него в файлах конфигурации nginx указать deny all; (как в примере выше) или, если у вас только apache, в корневой директории заглушки добавить такой же файл .htaccess с содержимым:

Deny from All

Это не самый эффективный способ борьбы с атаками, но крайне полезный, так как он решает помимо этого много проблем с индексацией сайта, со сканом сайтов по IP-адресу и другие случаи. Однако далее мы рассмотрим уже целенаправленные способы фильтрации атак.

С помощью ISPmanager

В панели ISPmanager есть функция, позволяющая ограничить количество подключений к сайту с одного IP-адреса. При этом IP-адрес блокируется по всем портам, поэтому если ваш IP-адрес попадёт в бан, то вы потеряете связь с сервером на 5 минут.

Приступаем к настройке.

Заходим в ISPmanager — раздел «Сайты» (в старом меню это «Домены-WWW-домены») — выделить домен — кнопка «Изменить». Ищем подраздел «Оптимизация» и «защита от DDos» и ставим галочку «Включить защиту от DDoS-атаки» — следом появятся параметры защиты от атаки.

А именно:

«Количество запросов в секунду» — при достижении указанного количества подключений, IP блокируется только в Nginx.
«Максимальный размер всплеска» — при достижении указанного количества подключений, IP блокируется по всем портам на 5 минут.

Обратите внимание! Данный модуль всего лишь метод сглаживания слабых атак силами веб-сервера. Если атака серьезная и полностью выводит из строя веб-сервер своей нагрузкой, то данный модуль никак не спасет. Также не указывайте экстремально низкие значения (меньше 30-20), так как архитектура некоторых сайтов подразумевает, что при одном клике на сайте к серверу уйдет несколько запросов, следовательно, повышается риск заблокировать легитимного пользователя.

Точечная блокировка в ISPmanager и блокировка по странам

Выше мы уже описывали варианты поиска источника нагрузки, когда атакующих IP-адресов немного. В этом случае их проще всего точечно заблокировать в панели ISPmanager в разделе «Администрирование» — «Брандмауэр», нажав кнопку «Создать» и указав адрес:

В этом же разделе есть возможность включить блокировку по определенным странам, нажав сверху кнопку «Страны». Стоит учитывать, что географическая привязанность IP-адресов всегда условна и может быть не точна. По этой причине для более-менее рабочей точности геораспределения адреса используются платные базы IP-адресов, в ISPmanager это работает именно так, и блокировка будет доступна, если вы зарегистрируетесь и приобретете ключ доступа к базам сервиса Maxmind:

Ручные настройки

Чтобы точечно зафильтровать 80 порт для ip xxx.xxx.xxx.xxx, используйте команду:

iptables -A INPUT -p tcp --src xxx.xxx.xxx.xxx --dport 80 -j DROP

Эти и последующие команды можно и нужно аналогично использовать и для 443-го порта.
Можно использовать ipset (нужен соответствующий модуль):

ipset -N ddos iphash

iptables -A INPUT -p tcp -m tcp --dport 80 -m set --set ddos src -j DROP

while true; do tail -10000 /var/www/httpd-logs/site.ru.access.log | sort | cut -f 1 -d " " | uniq -c | awk '($1>50){print $2}' | xargs -tl -I _ ipset -A ddos _;sleep 30; done

Закрываем icmp (поможет при icmp-flood):

iptables -A INPUT -p icmp -j DROP --icmp-type 8

Ограничение максимального числа «полуоткрытых» соединений с одного IP к конкретному порту (необходим соответствующий модуль):

iptables -I INPUT -p tcp --syn --dport 80 -m iplimit --iplimit-above 10 -j DROP

Ограничение максимального числа соединений с одного IP к конкретному порту:

/sbin/iptables  -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 3 -j REJECT

Корректировка параметров apache

Если в качестве веб-сервера используется apache, в качестве дополнительных средств можно корректировать параметры, влияющие на количество создаваемых процессов в системе.

Откройте любым удобным текстовым редактором конфигурационный файл /etc/httpd/conf/httpd.conf (если Centos) и /etc/apache2/mods-available/mpm_prefork.conf (если Debian/Ubuntu):

<IfModule mpm_itk_module>

   StartServers          1

   MinSpareServers       1

   MaxSpareServers       1

   MaxClients          150

   MaxRequestsPerChild  100

</IfModule>

Измените MaxClients (максимальное число процессов) в меньшую сторону до количества процессов, которые не забивают ресурсы вашего сервера до отказа. Каждый процесс apache занимает в среднем 4-8 мегабайт памяти. А лучше узнать точно, сколько памяти в среднем на вашем сервере занимает один процесс apache/httpd так:

top -d 1 | grep -E 'http|apache' | awk '{a+=$7}END{print a/(1024*NR) " Mb"}'

Необходимо, чтобы суммарное количество помещалось в оперативной памяти.

Отредактируйте /etc/httpd/conf/httpd.conf (если Centos) и /etc/apache2/apache2.conf (если Debian/Ubuntu)

Следует уменьшить параметры:

Timeout 300

MaxKeepAliveRequests 100

до 60 и 50 соответственно, чтобы как можно скорее старые процессы apache прекращали свое существование.

Модули Nginx

Если панели ISPmanager нет, но используется веб-сервер nginx, проверьте, чтобы nginx был собран с модулями http limit req и GeoIP. С их помощью аналогичным образом, как в панели ISPmanager, только вручную в конфигурационных файлах, можно блокировать доступ для IP-адресов, превысивших ограничение на количество подключений. Также можно заблокировать и доступ по странам. Ввиду возможных особенностей ручных конфигураций, рекомендуем самостоятельно изучить документацию nginx по модулю HTTP limit req и GeoIP.

Переменные sysctl

Системные переменные, которые могут быть полезны, при DDoS.

ICMP-FLOOD

Команда ниже поможет при отражении атаки типа icmp-flood:

sysctl net.ipv4.icmp_echo_ignore_all=1

SYN-FLOOD

Уменьшает время удержания «полуоткрытых» соединений:

sysctl -w net.ipv4.tcp_synack_retries=1

Включает TCP syncookies:

sysctl -w net.ipv4.tcp_syncookies=1

Увеличивает размер очереди полуоткрытых соединений, по умолчанию — 512:

sysctl -w net.ipv4.tcp_max_syn_backlog=4096

Проверяет TCP-соединение каждую минуту. Если на другой стороне — легальная машина, она сразу ответит. По умолчанию — 2 часа:
sysctl -w net.ipv4.tcp_keepalive_time=60

Повторяет проверку через 20 секунд:

sysctl -w net.ipv4.tcp_keepalive_intvl=20

Количество проверок перед закрытием соединения:

sysctl -w net.ipv4.tcp_keepalive_probes=3

Изменяет время ожидания приема FIN:

sysctl -w net.ipv4.tcp_fin_timeout=10

Обратите внимание! Эти настройки будут работать до первой перезагрузки сервера, для постоянного использования параметры необходимо внести в системный конфиг sysctl.conf

Подключение DDoS-защиты

Этот раздел статьи должен был быть, пожалуй, самый первым, так как является самым эффективным и главным способом бороться с DDoS-атаками.
Как уже упоминалось, указанные выше меры могут спасти только от небольших атак или атак с источников-«одиночек». 

Для качественной защиты и избавления от дополнительных манипуляций стоит подключать профессиональную DDoS-защиту. Есть много сервисов, которые не привязаны к хостингу и могут помочь защитить ваш сайт.

Мы, в свою очередь, предлагаем готовое решение от наших партнеров DDoS-Guard по подключению защищенного канала (для атак на канальном уровне) и защиты L7 (для атак на уровне приложений), обе защиты по одной стоимости, подробнее здесь.

Если нужен сервис защиты, но бюджет не позволяет

Стоит упомянуть и еще один сервис, который допускает вариант бесплатной защиты от DDoS (как вы понимаете, «бесплатно» означает, что это будет не настолько же эффективно) — Cloudflare. 

Базово, на этом сервисе можно добавить свой домен, направив его на предоставляемые ими NS. Также по умолчанию, направив домен на их NS, в качестве А-записей на стороне Cloudflare предлагается указать «проксирующий» IP-адрес, который будет отдаваться по домену глобально и принимать на себя все запросы и пропускать их через фильтр бесплатной защиты. 

Помимо того, что более эффективная фильтрация будет платной, есть еще «узкое горлышко» в том, что сам VDS при наличии доменов с Cloudflare не избавляется от угрозы прямой атаки по IP-адресу. Как правило, IP-адрес скрывают, стараются, чтобы по доменам нигде не «светились» старые DNS-записи, ведущие сразу на IP-адрес VDS и т.д.

Но есть более кардинальное и рекомендуемое решение в данном случае — запретить в фаерволе доступ по 80-му и 443-му портам для всех адресов, кроме адресов из подсетей cloudflare, тем самым пуская к веб-серверу только трафик, уже прошедший фильтрацию сервиса.

На примере Iptables это можно сделать следующими командами:

iptables -I INPUT -p tcp -m multiport --dports 80,443 -j DROP

ip6tables -I INPUT -p tcp -m multiport --dports 80,443 -j DROP

wget -O - https://www.cloudflare.com/ips-v4 | while read subnet; do iptables -I INPUT -s $subnet -j ACCEPT; done

wget -O - https://www.cloudflare.com/ips-v6 | while read subnet; do ip6tables -I INPUT -s $subnet -j ACCEPT; done

Это только базовая настройка, которую можно кастомизировать, в том числе и для случаев без Cloudflare, ограничив доступ атакующих источников, или ограничить доступ к DNS, и по почтовым портам, добавив правила для доступа ваших рабочих и других легитимных IP-адресов и т.д.

В целом, грамотная настройка фаервола и веб-сервера может помочь справляться с базовыми атаками даже без участия Cloudflare. Однако никакие бесплатные решения не помогут от серьезных и мощных DDoS-атак.

Сегодня вопрос обеспечения защиты серверов от DDOS-атак особенно актуален. Большая часть бизнеса построена именно на обработке данных и на предоставлении пользователям беспрепятственного доступа к сайту, веб-сервису, приложению или базам данных, расположенных на серверах. Чтобы нарушить работу бизнеса обычно применяется DDOS-атака. Это актуально не только для интернет-магазинов, которые в принципе не могут работать без сайта. Но и для многих других видов бизнеса, где поток клиентов и взаимосвязь с ними происходит удаленно онлайн. 

DDoS-атака дословно обозначает Distributed Denial of Service (множественная атака на систему). Конечная цель этого действия заключается в том, чтобы имитировать большую нагрузку на систему и заблокировать ее работу. Это как запустить на домашнем ноутбуке 1000 вкладок браузера одновременно. Вероятно, устройство зависнет. Так же происходит и с сервером, когда удалённо на него отправляется искусственный трафик в очень большом объеме. 

Для чего проводится DDoS атака

Существует несколько причин, по которым проводится DDoS-атака:

1. Для блокировки работы веб-ресурса на некоторое время (для крупных интернет-проектов даже несколько минут сбоя чревато потерями в тысячи долларов);
2. С целью отыскать уязвимые места и исправить их;
3. Ограничить работу ресурса конкурента и переманить клиентов на свою сторону.

К сожалению, в 80% случаев DDoS-атаки осуществляются со стороны недоброжелателей бизнеса. Для этого есть целый нелегальный рынок, где можно заказать услуги подобной атаки на любой веб-ресурс. 

Однако успешно совершить DDoS-атаку получается далеко не всегда, так как уже существуют разные способы защититься от них. 

Какие бывают типы DDoS атак

Существует несколько основных типов подобных атак на веб-ресурсы:

• HTTP-флуд и ping-флуд;
• Smurf-атака (ICMP-флуд);
• Атака Fraggle (UDP-флуд);
• Атака с помощью переполнения пакетами SYN (SYN-флуд);
• Отправка «тяжелых» запросов;
• Переполнение сервера лог-файлами.

Тот или иной тип подбирается в соответствии с уровнем защиты веб-ресурса, а также с учетом цели, бюджета и мастерства исполнителя. 

Например, самые простые атаки совершаются через HTTP-запросы. Более сложными считаются разные виды флуда: SYN, UDP, ICMP, MAC и другие виды attack. 

Как работает защита от DDoS атак

Если описать вкратце, то защита от DoS и DDoS-атаки направлена на отсечение избыточного трафика, который направляется по тем или иным каналам. Самые простые средства защиты от DDoS-атак осуществляют фильтрацию трафика еще до того, как он попадет на обработку в сервер. При чем уязвимыми могут быть и простые хостинги, которые первыми принимают трафик расположенных на них сайтах. 

Есть несколько базовых методов защиты от подозрительного трафика:

1. Применение брандмауэров с динамической проверкой пакетов;
2. Установка экранов флуда;
3. Ограничение количества SYN-ов за секунду;
4. Работа с параметрами Timeout, KeepAliveTimeout, директивой Options в настройках веб-сервера.

Стоит рассмотреть отдельно способы защиты для атак разных уровней.

Защита на уровне сети L3-L4

Чаще всего на сетевом уровне происходят атаки L3-L4. На 3 и 4 уровне действуют такие протоколы, как IP, ICMP, ARP, RIP, а также TCP и UDP. Рациональными средствами защиты считается фильтрация DDoS-трафика. Этот метод больше известен как blackholing. Однако этот способ блокирует не только опасный трафик злоумышленников, но и попытки простых пользователей попасть на веб-ресурс. Поэтому в качестве альтернативы можно ограничить количество обрабатываемых запросов по протоколу ICMP. 

Защита на уровне приложения L5-L7

В некоторых случаях может потребоваться более серьезная защита канала трафика в реальном времени. 5-7 уровни атак предотвратить сложнее. И здесь важно не просто быстро реагировать на ситуацию, но и поддерживать программное обеспечение с актуальными обновлениями. Так как многие операционные системы и программные решения вендоров уже содержат встроенные инструменты блокировки DDoS-атак. Подобными решениями отличается Timeweb защита от DDoS, Cisco защита от DDoS и некоторые другие. 

Защита в реальном времени

Для обеспечения защиты от DDoS-атак в реальном времени важно применять разные инструменты, предлагаемые авторитетными разработчиками. Все зависит от операционной системы серверов и внедренных решений. Например, если в компании сервера основаны на решениях Cisco, то стоит доверить этой компании защиту от DDoS. У этой компании есть специальное ПО под названием Cisco DDoS Protection Solution. Также подойдут и смежные инструменты Cisco Guard и Detector. Подобные элементы позволяют контролировать трафик на всех уровнях и отсекать искусственную нагрузку злоумышленников. 

Подобные решения есть и у других вендоров наподобие CloudFlare, Comod, Wanguard и других. О них не стоит забывать, если речь идет о корпоративной и очень ценной инфраструктуре.

Тарифы на услуги с защитой от DDoS атак

Стоимость услуг на защиту серверов от атак варьируется от несколько сотен долларов до сотен тысяч долларов за разовую защиту или комплексную работу в режиме реального времени. В крупных компаниях за безопасность отвечают целые отделы, которые смежно используют дорогостоящие пакетные решения от вендоров, часть из которых упомянута выше. 

Защита от DDoS атак без переноса

Сегодня существуют решения для удаленной защиты ресурса от внешних атак посредством перегрузки. И это делается без переноса сайта и смены хостинга. Например, можно воспользоваться услугой подключения внешнего IP-адреса для перенаправления трафика злоумышленников. Подобное решение должно быть защищено WAF (Web Applications Firewall), а сам процесс защиты подразумевает фильтрацию трафика по HTTP-протоколу. 

С каждым годом появляются все новые способы защиты серверов от внешних угроз. С развитием серверного ПО усиливаются и методы работы злоумышленников, но и при грамотном подходе этого можно избежать. 

Как то друг попросил собрать для него сервер LineAge. В поисках достойных мануалов, я забрел на один сайт и нашел там очень интересную вещь. Статья полностью скопирована оттуда.

Те, кто знаю Linux, понимают, на сколько удобно использовать iptables для создания правил, который будут отражать все атакующие зомби-машины, с помощью этих защит можно огородить не только свой Lineage 2 Java сервер, но и другие серверы.

Но к счастью, или к сожалению ( для хакеров ), на Windows’e тоже есть подобная софтина, и называется она — wipfw.

Разархивируем данный софт в любую папку, и устанавливаем ( запускаем install.bat ).
Отлично, вот и все, софт установлен — стандартные правила записаны.

Для изменений правил, Вы можете использовать cmd.exe и команды ipfw, посмотреть их можно здесь Тынц

Но согласитесь, не очень удобно записывать правила в команду, если их очень много, поэтому мы будем использовать файл «wipfw.conf», который находится в корне программы — в него записываются стандартные правила, а для того, чтоб они загрузились, нужно запустить «loadrules.cmd», который находится в папке bin.

С этого момента, если Вы прочитаете DOC по командам ipfw, Вы уже можете написать хорошую защиту.

Но я хочю Вам, как пример, предоставить структуру своего файла «wipfw.conf», что возможно упростит Вашу настройку защиты.

Для начала, выложу полностью весь файл, а далее мы будем разбирать каждую строку.

И так, «wipfw.conf» выглядит так:

Код

И так, начали.

Код

-f flush

— Удаляем все записи, которые были у меня до этого момента.

Код

add 1 allow udp from any to any 27015
add 1 allow udp from any 27015 to any

— Открываю порты для получения и отправки данных к серверам DNS

Код

add 10 allow udp from 94.229.237.21 to me

— Открываю данному ip ( ip моего хостинга ) все порты и разрешаю передавать мне любую информацию

Код

add 100 allow udp from me to any

— Разрешаю себе передавать информацию любому серверу на всех портах

Код

add 120 allow udp from 94.0.0.0/8 to any

— Разрешаю своим локальным компьютерам передавать информацию любому серверу на всех портах

Код

add 120 skipto 10000 upd from 2.0.0.0/8 to any
add 120 skipto 10000 udp from 66.0.0.0/8 to any
add 120 skipto 10000 udp from 46.0.0.0/8 to any
add 120 skipto 10000 udp from 62.0.0.0/8 to any
add 120 skipto 10000 udp from 77.0.0.0/8 to any
add 120 skipto 10000 udp from 78.0.0.0/8 to any
add 120 skipto 10000 udp from 79.0.0.0/8 to any
add 120 skipto 10000 udp from 80.0.0.0/8 to any
add 120 skipto 10000 udp from 81.0.0.0/8 to any
add 120 skipto 10000 udp from 82.0.0.0/8 to any
add 120 skipto 10000 udp from 83.0.0.0/8 to any
add 120 skipto 10000 udp from 84.0.0.0/8 to any
add 120 skipto 10000 udp from 85.0.0.0/8 to any
add 120 skipto 10000 udp from 86.0.0.0/8 to any
add 120 skipto 10000 udp from 87.0.0.0/8 to any
add 120 skipto 10000 udp from 88.0.0.0/8 to any
add 120 skipto 10000 udp from 89.0.0.0/8 to any
add 120 skipto 10000 udp from 90.0.0.0/8 to any
add 120 skipto 10000 udp from 91.0.0.0/8 to any
add 120 skipto 10000 udp from 92.0.0.0/8 to any
add 120 skipto 10000 udp from 93.0.0.0/8 to any
add 120 skipto 10000 udp from 94.0.0.0/8 to any
add 120 skipto 10000 udp from 95.0.0.0/8 to any
add 120 skipto 10000 udp from 109.0.0.0/8 to any
add 120 skipto 10000 udp from 178.0.0.0/8 to any
add 120 skipto 10000 udp from 188.0.0.0/8 to any
add 120 skipto 10000 udp from 193.0.0.0/8 to any
add 120 skipto 10000 udp from 194.0.0.0/8 to any
add 120 skipto 10000 udp from 195.0.0.0/8 to any
add 120 skipto 10000 udp from 212.0.0.0/8 to any
add 120 skipto 10000 udp from 213.0.0.0/8 to any
add 120 skipto 10000 udp from 217.0.0.0/8 to any

— Все СНГ пользователи ( т.е — здесь IP всей СНГ ) перебрасываются на правило №10000

Код

add 120 skipto 10000 udp from 204.16.252.109 to any
add 120 skipto 10000 udp from 38.99.77.20 to any
add 120 skipto 10000 udp from 74.125.95.93 to any
add 120 skipto 10000 udp from 74.125.127.93 to any
add 120 skipto 10000 udp from 74.125.43.99/16 to any
add 120 skipto 10000 udp from 209.85.135.95/16 to any
add 120 skipto 10000 udp from 64.12.202.116/16 to any
add 120 skipto 10000 udp from 208.88.224.248/24 to any
add 120 skipto 10000 udp from 204.13.248.117/16 to any

— Дополнительные серверы, которые подключаясь ко мне будут перебрасываться на правило №10000 — За зоной СНГ ( Здесь google, depositfiles, imageshacke, youtube )

Код

add 200 skipto 10000 icmp from any to any in icmptype 5,9,13,14,15,16,17

— Закрываем порты от сканирование ( делаем невидимыми )

Код

add 500 deny all from any to any

— Отклоняем все пакеты, что дошли к данному правилу. ( Запретить все что сюда дошло )

Код

add 10000 allow udp from any to any 80,443,49441,5938,4344,9019,5190,27015
add 10001 allow udp from any 80,443,49441,5938,4344,9019,5190,27015 to any

— Открываем нужные мне порты для использования, здесь http, skype, icq

Код

add 10002 allow tcp from any to me 7777 setup limit src-addr 15 in
add 10003 allow tcp from any to me 2106 setup limit src-addr 5 in

— Открываю порт 27015 или другой для подсоединения ко мне, с максимальным числом подсоединение с одного IP 5

Код

add 10004 allow tcp from any to any 27015 out

Вот и все, также хочу сказать, что все правила выполняются в последовательности их номеров, это очень важно!
Если Вы сначала поставите правило, которые будет запрещать это, а после добавите правило для разрешения подключений, оно будет нерабочим.

— Разрешают доступ к себе только странам СНГ и нужным нам серверам ( А зачем нам Великобритания или Африка? Не думаю что потенциальный игроки там будут, но вот бот-машины там точно есть ).
— Закрываем все порты, исключая нужные нам и игровые порты.
— Устанавливаем ограничение на подключение к игровым портам с 1 IP.

Функция deny — сбрасывает пакет.
Функция skipto [number] — перебрасывает пакет на указанное правило, если его нет, идет дальше по списку ( выше по номеру ).
Функция allow — пропуска пакет.
Для добавления правил через cmd, в начало нужно добавлять ipfw.
Для очистки всех правил, наберите в cmd — ipfw -f flush
Для просмотра всех правил, наберите в cmd — ipfw list

Команда в cmd для блокировки конкретного ip:
ipfw add 10 deny tcp from 10.10.10.10 to any
(ip 10.10.10.10 будет заблокирован)

Команда в cmd для блокировки под-сети пользователя:
ipfw add 10 deny tcp from 10.10.10.10/24 to any
(ip 10.10.10.0 — 10.10.10.255 будут заблокированы)

ipfw add 10 deny tcp from 10.10.10.10/16 to any
(ip 10.10.0.0 — 10.10.255.255 будут заблокированы)

Соблюдаем права. Статья взята отсюда http://kos-master.ru/other/instructions/25…a-windowsa.html и чуть чуть подправлена дял сервера cs.
Данные для знающих людей. Попрошу также знающих людей допилить статью =) Я думаю эти данные кому нибудь прогодятся.

Для Windows x86
 wipfw.rar ( 58.8 килобайт )
Кол-во скачиваний: 81

Для Windows x64
 wipfw_x64.rar ( 64.03 килобайт )
Кол-во скачиваний: 188