Для защиты канала от флуда с целью переполнения его пропускной способности мы рекомендуем использовать утилиту ddos deflate. Данный инструмент ограничивает ip адреса по скорости на определенное время, после истечения которого ip адреса удаляются из списка ограничений и в случае превышения интенсивности снова в него попадают.
Данная схема является очень удобной и обезопасит сервер от лишних блокировок, так как в нашем случае мы не блокируем ip адреса, а только снижаем их пропускную способность.
1. Установка
1.1 Установим необходимые утилиты
apt install dnsutils
apt-get install net-tools
apt-get install tcpdump
apt-get install dsniff -y
apt install grepcidr
1.2 Установим сам ddos deflate
wget https://github.com/jgmdev/ddos-deflate/archive/master.zip -O ddos.zip
unzip ddos.zip
cd ddos-deflate-master
./install.sh
2. Настройка
2.1 Внесем ip адреса в белый список
/etc/ddos/ignore.ip.list
89.111.xx.200
89.111.xx.201
2.2 Активируем фильтрацию входящего трафика по скорости
/etc/ddos/ddos.conf
BANDWIDTH_CONTROL=true
BANDWIDTH_CONTROL_LIMIT="1896kbit"
BANDWIDTH_DROP_RATE="512kbit"
BANDWIDTH_DROP_PERIOD=86400
BANDWIDTH_ONLY_INCOMING=true
Данная конфигурация говорит о том, что при превышении скорости в 2 мегабита интенсивности ip адрес будет лимитироваться до скорости 512 килобит на протяжении 24 часов (86400 секунд)
2.3 Применим настройки
service ddos restart
В зависимости от пропускной способности Вашего канала и интенсивности флуда - лимиты можно подправить под Ваши нужды.