Предотвращение взлома DDoS и веб-сервера

Question

В настоящее время мы используем NGINX в качестве обратного прокси-сервера с каркасом MVC с использованием TWIG, PHP, Elasticache, MySQL, NodeJS (socket.io) <- Мгновенное уведомление и обмен сообщениями </p>

Наш сайт имеет приличную скорость загрузки, но нам постоянно приходится перезагружать PHP, потому что люди продолжают DDoSing нашего сайта. Мы не знаем, как это смягчить, но мы создали правила ограничения скорости в CloudFlare для 60 запросов в 10 секунд. Единственная удача, которую мы испытали, заключалась в том, чтобы перевести сайт в режим интенсивной атаки, но это заставляет пользователей часто ждать 5 секунд при просмотре сайта. Хотя мы не знаем, кто совершает атаки, мы хотели бы предотвратить большинство из них, поскольку сайт отключается практически каждый день.

Что мы можем сделать, чтобы сайт не обслуживал пользователей 502 страниц после DDoS-атаки?

Какие шаги мы можем предпринять, чтобы как можно раньше обнаружить и заблокировать источник атак?

У нас нет большой суммы денег, чтобы тратить деньги на компании бы хотелось, чтобы это решалось, но мы хотели бы продолжить разработку нашей платформы, чтобы нашим пользователям не приходилось постоянно загружать 502 или ждать 5 секунд для большого количества загружаемых ими страниц (из облака).

Answer 1

Я предполагаю, что учетная запись, имеющаяся у вас в CloudFlare, является базовой c, и по умолчанию не обеспечивает снижение уровня DDOS Layer3 / 4/7, но вы все равно можете надежно защитить свой сайт от распространенных атак DDOS, применяя соответствующие правила WAF в CloudFlare, когда DDOS продолжается, но для этого вам нужно будет просмотреть журналы веб-сервера и панель CloudFlare, чтобы увидеть схему атаки.

Первым шагом должно быть снижение предела скорости, который у вас есть на данный момент, который составляет 60 запросов / 10 секунд.

Во-вторых, я бы предложил поискать шаблон текущих атак DDOS, которые помогут вам смягчить их, применяя соответствующие правила в CloudFlare (каждый DDOS имеет свой шаблон, требующий различных шагов по смягчению).

Как правило: Включите Javascript или вызов Captcha через CloudFlare на определенных страницах / конечных точках вашего веб-сайта или при превышении определенного предела скорости. Это полезно, потому что DDOS-атаки проводятся с использованием ботов, и когда вы применяете Javascript или вызов Captcha на своем веб-сайте, то только реальные пользователи могут пройти эти испытания, и боты отфильтровываются.

Кроме того, я бы предложил настроить оповещения DDOS через CloudFlare, что поможет вам своевременно предпринять действия (как предложено выше), чтобы заблокировать эту атаку до того, как ваши пользователи будут подвергнуты воздействию, а хост-серверы будут заблокированы.