How to protect your servers and applications from DDOS attacks

DDoS (Distributed Denial of Service) — это атака, направленная на перегрузку серверов, сетей или приложений с целью сделать их недоступными для пользователей. Такие атаки могут нанести серьезный ущерб бизнесу, поэтому защита от них — критически важная задача. В этой статье мы разберем, что такое DDoS-атаки, какие существуют методы защиты, и как их реализовать на практике.

DDoS-атака использует множество устройств (часто ботнеты) для отправки огромного количества запросов к цели, перегружая ее ресурсы. Основные типы атак:

1. Объемные атаки (Volumetric Attacks): Занимают пропускную способность сети, например, UDP-флуд.
2. Протокольные атаки (Protocol Attacks): Эксплуатируют уязвимости протоколов, например, SYN-флуд.
3. Атаки на уровне приложений (Application Layer Attacks): Имитируют легитимный трафик, перегружая сервер, например, HTTP-флуд.

Пример сценария: Интернет-магазин атакуют HTTP-запросами, из-за чего сервер не справляется с обработкой, и сайт становится недоступным.

Для эффективной защиты необходимо сочетать несколько подходов: от настройки серверов до использования облачных решений. Рассмотрим основные методы.
1. Мониторинг и раннее обнаружение

Первый шаг — знать, что происходит с вашим трафиком. Мониторинг позволяет выявить аномалии, такие как резкий рост запросов.
Инструменты мониторинга:

1. Zabbix: Отслеживает метрики сервера (CPU, память, трафик).
2. Prometheus + Grafana: Визуализация метрик в реальном времени.
3. NetFlow/sFlow: Анализ сетевого трафика.

Пример: Настройка Grafana для мониторинга HTTP-запросов.

1. Установите Prometheus и экспортер Nginx.
2. Настройте дашборд в Grafana для отображения количества запросов в секунду.

# prometheus.yml
scrape_configs:
- job_name: 'nginx'
static_configs:
- targets: ['nginx-exporter:9113']

Code

# prometheus.yml

scrape_configs:

  - job_name: 'nginx'

    static_configs:

      - targets: ['nginx-exporter:9113']

2. Настройка серверов и приложений

Оптимизация серверов помогает минимизировать уязвимости.
a) Ограничение скорости (Rate Limiting)
Ограничивайте количество запросов от одного IP-адреса.
Пример для Nginx:
nginx

http {
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;
server {
location / {
limit_req zone=mylimit burst=20;
}
}
}

Code

http {

    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;

    server {

        location / {

            limit_req zone=mylimit burst=20;

        }

    }

}

1. rate=10r/s: 10 запросов в секунду на IP.
2. burst=20: Позволяет временный всплеск до 20 запросов.

b) Настройка файрвола
Используйте iptables или ufw для блокировки подозрительного трафика.
Пример для iptables:
bash

iptables -A INPUT -p tcp --syn -m limit --limit 25/minute -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
Это ограничивает SYN-пакеты для защиты от SYN-флуда.
c) Кэширование
Используйте кэш для снижения нагрузки на сервер.
Пример для Nginx:
nginx

proxy_cache_path /tmp/cache levels=1:2 keys_zone=my_cache:10m;
server {
location / {
proxy_cache my_cache;
proxy_pass http://backend ;
}
}

Code

proxy_cache_path /tmp/cache levels=1:2 keys_zone=my_cache:10m;

server {

    location / {

        proxy_cache my_cache;

proxy_pass http://backend ;

    }

}

3. Использование WAF (Web Application Firewall)

WAF фильтрует HTTP-трафик, блокируя вредоносные запросы.
Популярные решения:

1. Cloudflare WAF: Облачный фильтр.
2. ModSecurity: Open-source WAF для Apache/Nginx.

Пример правила ModSecurity:

SecRule REQUEST_URI "@contains /login" "id:1000,phase:2,deny,status:403"

Code

SecRule REQUEST_URI "@contains /login" "id:1000,phase:2,deny,status:403"

Блокирует подозрительные запросы к странице логина.

4. Облачные решения для защиты
Для масштабных атак локальные меры могут быть недостаточны. Облачные сервисы поглощают трафик и фильтруют его.

1. Cloudflare: Предоставляет DDoS-защиту на уровнях 3, 4 и 7.
2. AWS Shield: Защита для приложений на AWS.
3. Akamai: Решение для крупных предприятий.

Пример настройки Cloudflare:

1. Включите режим "Under Attack Mode" в панели Cloudflare.
2. Настройте правила для блокировки стран или IP-диапазонов.

5. Распределение нагрузки

Используйте балансировщики нагрузки для распределения трафика между серверами.
Инструменты:

1. HAProxy: Высокопроизводительный балансировщик.
2. AWS ELB: Облачный балансировщик.

Пример конфигурации HAProxy:
haproxy

frontend http_front
bind *:80
default_backend http_back

backend http_back
balance roundrobin
server server1 192.168.1.10:80 check
server server2 192.168.1.11:80 check

Code

frontend http_front

bind *:80

   default_backend http_back



backend http_back

   balance roundrobin

   server server1 192.168.1.10:80 check

   server server2 192.168.1.11:80 check

6. Резервирование и масштабирование

1. Автомасштабирование: Настройте автоматическое добавление серверов при росте трафика (например, в AWS Auto Scaling).
2. Гео-распределение: Размещайте серверы в разных регионах.

Пример AWS Auto Scaling:

1. Создайте группу масштабирования.
2. Установите порог для CPU > 70% для добавления новых экземпляров.

7. Реакция на атаку
Если атака началась:

1. Активируйте облачную защиту (например, Cloudflare).
2. Блокируйте подозрительные IP-адреса через файрвол.
3. Перенаправьте трафик на резервные серверы.

Практический пример: Защита веб-приложения
Допустим, у вас есть интернет-магазин на Nginx и AWS. Вот план защиты:

1. Монинг: Настройте Prometheus для отслеживания запросов.
2. Rate Limiting:
   nginx
   
   limit_req_zone $binary_remote_addr zone=store:10m rate=15r/s;
   server {
   location /api/ {
   limit_req zone=store burst=30;
   }
   }

   Code

   limit_req_zone $binary_remote_addr zone=store:10m rate=15r/s;
   
   server {
   
       location /api/ {
   
           limit_req zone=store burst=30;
   
       }
   
   }

3. WAF: Подключите Cloudflare и включите фильтрацию ботов.
4. Балансировка: Настройте AWS ELB для двух серверов.
5. Резерв: Разверните копию приложения в другом регионе AWS.