Описание настроек
Настройка служб веб сервера для защиты от небольших атак, флуда, атак подбора паролей. Такой тип атак рассчитан на повышение нагрузки на веб службу, расходование ресурсов сервера и отказ в обслуживании из-за исчерпания и нехватки ресурсов. Данное руководство позволяет настроить свой сервер для получения базовой защиты от разных типов атак на уровне самого сервера. В своих примерах настроек мы использовали операционную систему Centos 7.
В чем отличие от услуги защита от DDOS атак?
Услуга Защита от DDOS атак предоставляется в виде защищенного ip адреса, трафик для которого проходит через специальное оборудование и защищает от средних и больших атак, рассчитанных больше на вывод из строя сетевого оборудования. Но она не защитит службы от мелкого флуда, который тоже может нанести вред, так как просто не распознает его ввиду небольшого количества ботов, которые обращаются к веб серверу. В случае правильно подхода к защите сервера, применяют оба правила, защита от флуда и защита от ddos атак. Тут мы опишем как настроить свой веб сервер, чтобы защитить его от флуда.
Веб службы
В зависимости от выбранного Вами веб сервера, существуют разные методы и типы настроек. В списке мы привели наиболее популярные веб службы и опишем настройки для каждого.
Защита от BruteForce атак
Данный тип атак очень сильно повышает нагрузку на веб службу. Злоумышленник указывает ссылку на форму входа в админку сайта и запускает на нескольких ботах, которые начинают подбирать пароли используя методы get и post. В логах Вы увидите сотни, тысячи обращений с одних и тех же ip адресов. Они могут создать существенную нагрузку и вывести web службу из строя. Для защиты мы будем использовать службу Fail2Ban которая в случае превышения лимита обращений по одной и той же ссылке в течение 10 минут будет блокировать ip адрес на определенное время. Из нашего опыта и наблюдений при таком типе атак служба в состоянии заблокировать порядка 5000 ip адресов за короткий период времени не создав нагрузки на сервер.
Защита от SYN Flood атак
Данный тип атак эмулирует запрос от обычного посетителя сайта, но в отличие от реального клиента, бот не дожидаясь ответа от сервера посылает новый запрос к веб службе, когда запросов становится несколько тысяч служба зависает и перестает отвечать на запросы. Данный тип атак очень популярен так как не требует больших ресурсов для вывода из строя незащищенного сервера. Служба ddos deflate прекрасно отражает данный тип атак.
Настройка лимитов подключений
Тут речь пойдет о правилах фаервола, необходимо задать лимит количества подключений с одного ip адреса для всех служб. Данное правило поможет избежать переполнения стека, лимит которого задан в настройках ядра. Настройку будем осуществлять в iptables на Centos.
Защита от перегрузки и роста показателя Load Avereage
Так или иначе бывает разный тип атак и в случае если службы защиты не успели отработать или были заданы не все фильтры, нагрузка на сервер при атаке будет расти и в конечном счете Вы потеряете доступ к серверу, он перестанет отвечать. Чтобы не терять доступ при атаке на сервер мы советуем настроить скрипт, который в случае высокой нагрузки будет перезапускать необходимые службы и выполнять другие действия.
Вывод
Такой тип настройки позволит отразить большинство мелких ddos атак без потери производительности, а также убережет сайт от возможного подбора паролей. Данную настройку необходимо осуществить 1 раз. Спустя некоторое время следует проверить log файлы, убедится, что работает logrotate и файлы занимают не более 5-10 мегабайт. В случае большого размера служба Fail2Ban может работать некорректно ввиду большого количества данных. С данной настройкой даже сервер с небольшим количеством ресурсов процессора и памяти будет работать стабильно. Вы также будете получать уведомления на почту и будете всегда в курсе какие ip адреса и когда были заблокированы.