Для защиты канала от флуда с целью переполнения его пропускной способности мы рекомендуем использовать утилиту ddos deflate. Данный инструмент ограничивает ip адреса по скорости на определенное время, после истечения которого ip адреса удаляются из списка ограничений и в случае превышения интенсивности снова в него попадают.

Данная схема является очень удобной и обезопасит сервер от лишних блокировок, так как в нашем случае мы не блокируем ip адреса, а только снижаем их пропускную способность.

1. Установка

1.1 Установим необходимые утилиты

apt install dnsutils
apt-get install net-tools
apt-get install tcpdump
apt-get install dsniff -y
apt install grepcidr

1.2 Установим сам ddos deflate

wget https://github.com/jgmdev/ddos-deflate/archive/master.zip -O ddos.zip
unzip ddos.zip
cd ddos-deflate-master
./install.sh

2. Настройка

2.1 Внесем ip адреса в белый список

/etc/ddos/ignore.ip.list

89.111.xx.200
89.111.xx.201

2.2 Активируем фильтрацию входящего трафика по скорости

/etc/ddos/ddos.conf

BANDWIDTH_CONTROL=true
BANDWIDTH_CONTROL_LIMIT="1896kbit"
BANDWIDTH_DROP_RATE="512kbit"
BANDWIDTH_DROP_PERIOD=86400
BANDWIDTH_ONLY_INCOMING=true

Данная конфигурация говорит о том, что при превышении скорости в 2 мегабита интенсивности ip адрес будет лимитироваться до скорости 512 килобит на протяжении 24 часов (86400 секунд)

2.3 Применим настройки

service ddos restart

В зависимости от пропускной способности Вашего канала и интенсивности флуда - лимиты можно подправить под Ваши нужды.