Защита сервера от DDoS атак

Материал из Википедия MyArena.ru
Версия от 16:12, 3 апреля 2019; Ykpon (обсуждение | вклад)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

На нашем хостинге каждый клиент по-умолчанию получает защиту своего сервера от DDoS-атак. На игровых серверах (тарифы с оплатой за слоты и ресурсы) никаких действий по настройке защиты в панели предпринимать не нужно.
На VDS и выделенных серверах присутствует возможность тонкой настройки защиты. Ниже Вы увидите описание этих возможностей.

Игровая защита

Игровая защита.

Так как большинство игровых серверов использует протокол UDP, необходимо подстраиваться под протокол каждого приложения и защищать его индивидуально. Все игровые тарифы, которые Вы можете заказать в разделе "Услуги", автоматически защищаются нами от атак. Но на VDS и выделенных серверах Вам необходимо самостоятельно в настройках защиты добавить игровой сервер, указать тип сервера и порты, которые он использует. Весь остальной UDP-трафик, который не фильтруется, будет попадать под ограничения шейпера. Мы готовы индивидуально разработать и обеспечить защиту от DDoS-атак для тех приложений, которых на данный момент нет у нас в списке.

Основные настройки

Основные настройки.

Шейпер

Весь UDP-трафик, который идет на неизвестные порты (которых нет в списке серверов*), ограничивается шейпером. Это сделано для того, чтобы атаки на неизвестные UDP-порты не влияли на сервер. Чем больше значение шейпера, тем больше трафика пройдет к серверу в момент атаки на неизвестные UDP-порты.
Например, если у Вас запущен какой-то сервер, использующий UDP-протокол, при этом не добавленный под защиту во вкладке "Игровая защита", подвергся атаке, а значение шейпера равняется 20, то на сервер будет проходить всего 20Mbit трафика. Соответственно, работа всего сервера парализована не будет.
ВНИМАНИЕ Не рекомендуется выставлять значение шейпера равным пропускной способности сервера. В противном случае при атаке на неизвестный порт будут страдать все сервисы на Вашем сервере.

UDP-пакеты

Как и в случае с ограничением объема трафика, рекомендуется ограничить максимально допустимое количество пакетов, принимаемых сервером в секунду. ВНИМАНИЕ Не рекомендуется устанавливать ограничение количества UDP пакетов в секунду (PPS) более 4000.

TCP/UDP защита

TCP/UDP защита.

Вы можете ограничить количество подключений к порту с одного IP-адреса. Это может послужить одним из инструментов для защиты от DDoS-атак.
ВНИМАНИЕ Прежде чем ограничивать количество подключений, Вам следует убедиться, что Вы устанавливаете лимит с запасом. Например, если Вы определили, что к добавляемому порту среднее количество одновременных легитимных подключений составляет 20, а максимальное 25, то добавлять рекомендуется не менее 25.

Фаервол

Фаервол.

Здесь Вы можете ограничить доступ к портам (одному порту или диапазонам) по IP. Если нажать на поле под колонкой "Тип", можно выбрать протокол, для которого создается правило. Таким образом, например, можно запретить доступ к порту для всех, кроме конкретных IP. На конкретном примере отображено как запретить доступ к порту 22 (SSH) для всех и разрешить только с одного IP (12.34.56.78):

Блокировка 22 порта.

ВНИМАНИЕ Добавлять правила необходимо в правильном порядке. Сначала Вам необходимо прописать разрешающие правила, а после уже добавить запрещающее.

* список известных игровых серверов и прочих приложений:
Counter-Strike 1.6, Counter-Strike: Condition Zero, Half-Life, Counter-Strike: Source v34, Counter-Strike: Source, Counter-Strike: Global Offensive, Team Fortress 2, Left 4 Dead, Left 4 Dead 2, Half-Life 2: Deathmatch, Garry's Mod, Day of Defeat: Source, Insurgency, Zombie Panic, Minecraft, GTA San Andreas Multiplayer, GTA: Multi Theft Auto, GTA V: RAGE-MP, GTA V: FiveM, Just Cause 2, Arma 3, Rust, Rust Legacy, ARK: Survival Evolved, Unturned, Hurtworld, Rising Storm 2: Vietnam, Red Orchestra 2: Multiplayer, Teamspeak 3, HLTV