хуйу нас не матерятся
Защита от DDoS это совсем нетривиальная задача. Если Ваш веб-сайт - это бизнес, то лучше сразу воспользуйтесь услугами специализированных анти- ДДоС сервисов (cloudflare, qrator идр.), либо как минимум услугами опытного специалиста.
Эта же серия статей будет интересна тем, кто любит покопаться в настройках серверов, кто любит сам решать свои проблемы, и самое главное тем, у кого есть время этим заниматься. От чего мы будем защищаться?
Минимальный ценник на ДДоС начинается в районе 50$/сутки. За такую цену никто не выдаст топ трафик, а в большинстве случаев, это будет юный хакер, осовевший простейшие DDoS инструменты. Это и есть наш клиент. Выбор датацентра
Я исхожу из того, что наш бюджет очень ограничен. А значит наш выбор - это cloud датацентры. Очень важно выбрать провайдера с быстрым upload коннектом, поскольку в случае атаки, нам придётся принять на много больше входящего трафика, чем исходящего. Из того что есть, я бы выбрал linode.com, но так как у меня уже есть digitalocean аккаунт, остаюсь на нём. Инфраструктура
Нам придётся использовать не 1 а минимум 2 виртуальных сервера. Это повысит минимальную цену на хостинг, но добавить гибкости. Сервера должны быть обязательно соединены локальной сетью. Дальше я покажу зачем это нужно.
1 сервер- это шлюз, его задача будет принять на себя удар, отфильтровать трафик и проксировать фильтрованный трафик к реальному веб-серверу.
2 сервер- это обычный LAMP сервер, ничего особенного.
Теоретически всё можно развернуть на 1 сервере, но в случае, если за нас возьмутся специалисты немного выше школьного уровня, у нас будут проблемы с быстрым масштабированием. Наша цель
Наша цель не сделать идеальную защиту, это невозможно. Профессиональные ддосеры уже организуют атаки в 1Тбит/с. Это как взрыв ядерной бомбы, они уничтожают целые датацентры. Мы же просто постараемся сделать атаку на нас максимально дорогой, за минимальные деньги.
Итак приступим, давайте создадим виртуальные сервера.