Защита от DDoS Своими силами. Часть 1, вводная

Защита от DDoS это совсем нетривиальная задача. Если Ваш веб-сайт - это бизнес, то лучше сразу воспользуйтесь услугами специализированных анти- ДДоС сервисов (cloudflare, qrator идр.), либо как минимум услугами опытного специалиста.

Эта же серия статей будет интересна тем, кто любит покопаться в настройках серверов, кто любит сам решать свои проблемы, и самое главное тем, у кого есть время этим заниматься. От чего мы будем защищаться?

Минимальный ценник на ДДоС начинается в районе 50$/сутки. За такую цену никто не выдаст топ трафик, а в большинстве случаев, это будет юный хакер, осовевший простейшие DDoS инструменты. Это и есть наш клиент. Выбор датацентра

Я исхожу из того, что наш бюджет очень ограничен. А значит наш выбор - это cloud датацентры. Очень важно выбрать провайдера с быстрым upload коннектом, поскольку в случае атаки, нам придётся принять на много больше входящего трафика, чем исходящего. Из того что есть, я бы выбрал linode.com, но так как у меня уже есть digitalocean аккаунт, остаюсь на нём. Инфраструктура

Нам придётся использовать не 1 а минимум 2 виртуальных сервера. Это повысит минимальную цену на хостинг, но добавить гибкости. Сервера должны быть обязательно соединены локальной сетью. Дальше я покажу зачем это нужно.

1 сервер- это шлюз, его задача будет принять на себя удар, отфильтровать трафик и проксировать фильтрованный трафик к реальному веб-серверу.

2 сервер- это обычный LAMP сервер, ничего особенного.

Теоретически всё можно развернуть на 1 сервере, но в случае, если за нас возьмутся специалисты немного выше школьного уровня, у нас будут проблемы с быстрым масштабированием. Наша цель

Наша цель не сделать идеальную защиту, это невозможно. Профессиональные ддосеры уже организуют атаки в 1Тбит/с. Это как взрыв ядерной бомбы, они уничтожают целые датацентры. Мы же просто постараемся сделать атаку на нас максимально дорогой, за минимальные деньги.

Итак приступим, давайте создадим виртуальные сервера.